So sollten Sie nicht mehr arbeiten!

Identitäts- und Zugriffskontrolle

Seit Jahrzehnten sind es Anwender im beruflichen und privaten Umfeld gewohnt, sich etliche Male am Tag mit Benutzername & Passwort anzumelden. Neben der kaum noch zu bewältigenden Flut von Benutzerkonten, gibt es weitere gute Gründe, diesen Ansatz der Zugriffskontrolle abzulösen.

Die Zunahme von Identitätsdiebstählen und erpresserischen Verschlüsselungsangriffen auf Unternehmen erfordert zwingend die verbesserte Absicherung des Zugangs zu IT-Ressourcen von Firmen.

Weitere Faktoren sind der Datenschutz und die Herausforderungen durch die Corona-Pandemie, in der ganze Belegschaften ins Home Office verbannt wurden.

Diese Anforderungen lassen sich nur mit einem Identity & Access-Management (IAM) bewältigen. Ein wichtiger Bestanteil der Zugriffskontrolle ist die Authentifizierung. Sicherzustellen, dass die Person, die Zugang zu Unternehmsdaten haben möchte, auch die ist, die sie vorgibt zu sein, ist eine elementare Komponente.

Das mittelfristige Ziel sollte es sein, das sich ein Anwender*In nur noch wenige Male am Tag authentifizieren muss, dies aber so sicher wie möglich. Und das geht nicht (mehr) mit einem Passwort.

Warum Passwörter unsicher sind

Passwörter werden erraten oder berechnet

Viele Anwender machen es den Angreifern immer noch zu einfach, es werden sehr einfache und zu kurze Passwörter verwendet. Derartige Passwörter können erraten und berechnet werden. Dies erfolgt häufig automatisch durch verschiedene Methoden wie Wörterbuch- oder "Brute Force"-Attacken. Moderne Rechner "knacken" ein 6-stelliges Passwort in weniger als einer Minute.

Die grausame Liste der beliebtesten Passwörter

Passwörter knacken – Das sind die aktuellen Leistungszahlen!

Passwörter werden gestohlen und abgefischt

Oftmals ist es nicht die Schuld des Anwenders. In den Medien wird immer wieder von Diebstählen großer Mengen Kundendaten berichtet. Besonders fatal ist es in Fällen, in denen ein kleiner Anbieter (Ihr Sportverein, Ihre Lieblingsportal für Kochrezepte u.s.w) den Diebstahl nicht einmal bemerkt. Noch folgenreicher kann es werden, wenn ein und dasselbe Passwort für verschiedene Zugänge verwendet wird.

Wie es besser geht

Eine Benutzerauthentifizierung sollte immer durch eine mehrstufige (Multifaktor-) Authentifizierung erfolgen. Darunter versteht man die Überprüfung von Zugangsberechtigungen anhand von mindestens zwei unabhängigen Faktoren aus den Bereichen:

Wissen (z.B. ein Passwort)
Besitz (z.B. ein Smartphone)
Merkmal (z.B. ein Fingerabdruck)
Ort

Schlecht: Passwort

123456

qwertz

admin123

passwort2022

Besser: Passwort +

Zweiter Faktor mit

SMS
Anruf

Besser: Passwort +

Zweiter Faktor mit

Smartphone Authenticator (Push)
Handware- oder Software-OTP (OneTimePassword)

Optimal: Passwortlos

Zweiter Faktor mit

Biometrie (Gesichtserkennung, Fingerabdruck)
Smartphgone Authenticator (sign-In)
FIDO2 Schlüssel

Wenn es nicht anders geht

Wählen Sie unbedingt ein langes (mindestens 12 Zeichen, besser mehr) und komplexes Passwort. Gute Empfehlungen gibt es durch vertrauenswürdige Institutionen wie z.B. dem Bundesamt für Sicherheit in der Informationstechnik oder der Verbraucherzentrale. Eine Hilfe bieten auch Passwort-Generatoren, die ein zufälliges Passwort generieren.
Recyling und Mehrfach-Verwendung sind gut für die Umwelt - aber nicht beim Passwort. Passwörter werden durch Anwender leider sehr häufig mehrfach und zudem noch sowohl im privatem als auch im geschäftlichen Umfeld eingesetzt. Das ist unsicher, denn gelangt ein solches Passwort einmal in die falschen Hände, haben die Hacker ein leichtes Spiel. Man kennt Ihre E-Mail-Adresse und Ihr gutes (weil langes und komlexes) Passwort.
Angreifer versuchen dann automatisiert den Zugriff auf hunderte Portale.
Verwenden Sie Passwort-Manager. Komplexe und lange Passwörter kann man sich nicht mehr merken. Es gibt Empfehlungen, die Anfangbuchstaben der Wörter eines langen Satzes für ein Passwort zu nutzen und bestimmte Buchstaben durch Zahlen oder Sonderzeichen zu ersetzten. Das ist für ein paar Passwörter noch machbar, aber bei 10 oder mehr Zugängen wird das schnell unmöglich. An dieser Stelle empfehlen sich Passwort-Manager.

Sichere Passwörter erstellen

Sichere Passwörter – so geht's

Passwortmanager

Lassen Sie sich helfen

Wir sind auf IT-Sicherheit & Cloud-IT fokkussierte Consultants. Gemeinsam mit Ihnen analysieren wir den Ist-Zustand und definieren die Ziele. Oftmals führt ein Weg nicht direkt zum Ziel. Zum Beispiel erzwingen betriebliche Prozesse einen Umweg, z.B. über einen Passwortmanager, um im ersten Schritt zumindest unsichere Passörter zu vermeiden. Nach einem solchen Zwischenschritt wird der Kurs neu ausgerichet, das Ziel sollte unbedingt eine einheitliche Benutzer- und Zugriffsverwaltung sein, die sich gut in die bestehenden Strukturen integriert.

Lernen Sie uns kennen

In diversen Projekten hat sich gezeigt, dass nahezu jedes Unternehmen in irgendeiner Form die Cloud-Dienste von Microsoft nutzt. Das kann ein Abonnement von Office-Software (Microsoft 365) oder die Nutzung von Exchange online für die Firmen-Mails. sein. Alle diese Dienste basieren auf dem so genannten Azure Active Directory (Azure AD oder AAD) für die Verwaltung der Benutzer. Deswegen ist es nur logisch, dieses Azure AD auch für die Identitäts- und Zugriffs-Verwaltung (Identity & Access Management IAM) zu nutzen.

Lassen Sie sich von uns zeigen, wie sicher und praktisch die Anmeldung per Fingerabdruck, Gesichtserkennung oder einem FIDO2-Schlüssel ist. Ein weiterer Vorteil dieser Integration besteht in der Nutzung des Azure AD als Identitätsprovider. Eine zunehmende Zahl von Software-Anwendungen bietet die Benutzeranmeldung auf Basis von Azure AD an. Aus dem privatem Umfeld kennt man das von Portalen, die eine Anmeldung mit Facebook oder Google anbieten.

Sie haben sich morgens sicher und bequem per Fingerabdruck angemeldet? Prima, dann müssen sie auf der Startseite der Portale von Amazon Web Services, Salesforce etc. nur noch auf "Anmelden mit Azure AD" klicken und schon können Sie loslegen - ohne weitere Anmeldeprozesse.

Aufgrund der immer weiter wachsenden Verbreitung von Cloud-Diensten ist das die Nutzung des Azure AD von Microsoft als IAM-System eine gute Alternative zu anderen Anbietern wie Okta, OneIdentity, Onelogin, Ping Identity etc. Eine weiteres Argument ist die Kosteneffizienz. In einigen M365-Pakets sind die Premium Dienste des Azure AD bereits enthalten.