Aktuelles, Branche - geschrieben von dp am Mittwoch, August 10, 2011 23:53 - noch keine Kommentare
Unternehmen sollten strenge Regeln für die Verwendung von Administrator-Accounts schaffen
Cyber-Ark empfiehlt Maßnahmen zum Passwortschutz
[datensicherheit.de, 10.08.2011] Um die eigene IT vor unbefugtem Zugriff zu schützen, sollten Unternehmen strenge Regeln für die Verwendung von Administrator-Accounts schaffen. Cyber-Ark weist auf die wichtigsten Punkte zur Vorbeugung gegen Missbrauch hin:
Oft lassen Unternehmen schwache Passwörter zum Schutz von Benutzer-Accounts zu, obwohl sie rechtlich zu effektiveren Maßnahmen verpflichtet wären. Das Bundesdatenschutzgesetz schreibt Betreibern von IT-Anlagen mit personenbezogenen Daten oder Datenkategorien vor, den unautorisierten Zugriff auf seine Daten zu unterbinden – so spricht der Gesetzgeber in der Anlage zu § 9 Satz 1, Absatz 2 und 3 von der Verpflichtung zur Zugangs- und Zugriffskontrolle. Außerdem schreibt die EU-Richtlinie Basel II die Definition eines Regelwerks zum Umgang mit Passwörtern vor. Unternehmen, die an US-amerikanischen Börsen notiert sind, unterliegen zusätzlich dem Sarbanes-Oxley-Act und seinen Passwort-Vorschriften.
Um diesen Bestimmungen gerecht zu werden, sind Zugangsdaten und die mit ihnen verbundenen Kennwörter besonders zu schützen. Grundlegender Passwort-Schutz sei laut Cyber-Ark mit folgenden Richtlinien einfach herbeizuführen:
Passwörter müssten durch ihre Struktur schwer zu knacken und möglichst komplex aufgebaut sein. Ein zyklischer Wechsel des Passworts, beispielsweise jeden Monat, stelle eine weitere Hürde für den Missbrauch von Passwörtern dar. Noch besser sei die Verwendung eines Kennwortgenerators mit Einmalpasswörtern, die nur einige Minuten gültig sind.
- Sparsame Vergabe von Passwörtern für privilegierte Accounts
Passwörter von privilegierten Accounts sollten nur an Personen ausgegeben werden, die sie für die Erfüllung ihrer Aufgaben tatsächlich benötigen. Zusätzlich lasse sich der Sicherheitsgrad durch die Vergabe von Einmal-Passwörtern im Single-Sign-On-Verfahren steigern. So könne sich ein Administrator anmelden, ohne das eigentliche Passwort zu kennen. - Vertraulichkeit des Passworts
Jeder Benutzer verfügt über seinen eigenen Account und ein eigenes, individuelles Passwort. Das sollte auch bei Funktions-Accounts wie dem Administrator oder dem Webmaster der Fall sein, da sich ein Gruppenpasswort für eine von vielen gleichzeitig verwendete Kennung nicht geheim halten lasse. Bei neu erstellten Accounts mit vordefinierten Passwörtern sollten die Anwender diese unverzüglich selbst ändern. - Reaktion auf erfolglose Anmeldeversuche
Fehlerhafte Anmeldeversuche sollten protokolliert werden. Zusätzlich sei es empfehlenswert, das Benutzer-Account bei einer gewissen Anzahl von Fehlversuchen zu sperren und die IP-Adresse, von der die Versuche ausgehen, zu speichern. - Einführung eines Systems zur Verwaltung privilegierter Accounts
Die Gefahr, die von nachlässigem Umgang mit Passwörtern entspringt, sei dann besonders hoch, wenn es sich um privilegierte Accounts wie die von Superusern und Systemadministratoren handele. Dafür sollten Sicherheitsmaßnahmen getroffen werden wie beispielsweise die Einführung eines Systems zur Verwaltung privilegierter Accounts. Dafür eigne sich die „Privileged Identity Management Suite“ von Cyber-Ark: Sie biete die vollständige Zugriffskontrolle für privilegierte Accounts, die Überwachung und Aufzeichnung privilegierter Sitzungen sowie die Verwaltung von Anwendungs- und Dienstzugangsdaten. Damit werde eine sichere Verwaltung der privilegierten Identitäten, Accounts und Kennwörter möglich.
Laut dem Branchenverband BITKOM änderten 40 Prozent aller Deutschen ihre wichtigsten Zugangscodes nicht. Der Umgang mit Passwörtern im privaten Umfeld spiegele sich durch gleiche Gewohnheiten im Unternehmensumfeld wider. Viele Risiken durch die nachlässige Verwaltung von privilegierten Accounts und ihrer Passwörter ließen sich mit der „Privileged Identity Management Suite“ von vornherein eliminieren, so Jochen Koehler, Deutschland-Chef von Cyber-Ark in Heilbronn. Missbräuchlich genutzte Administrator-Kennungen seien eine der Haupteinfallstore in eine Unternehmens-IT.
Aktuelles, Experten - Jan. 24, 2025 1:00 - noch keine Kommentare
Stargate: KI-Initiative in den USA setzt Europa unter Zugzwang
weitere Beiträge in Experten
- Laut Studie von DLA Piper wurden 2024 europaweit 1,2 Milliarden Euro DSGVO-Bußgelder verhängt
- Auskunftsrecht: EDSA hat Bericht zur koordinierten Prüfaktion CEF 2024 publiziert
- Bundestagswahl 2025: Politische Parteien dürfen Adressen zweckgebunden für Wahlwerbung nutzen
- Pseudonymisierung: Europäischer Datenschutzausschuss hat Leitlinien beschlossen
- Rat der Verbraucherzentrale zur ePA: Entweder aktive Pflege oder grundsätzlicher Widerspruch
Aktuelles, Branche, Studien - Jan. 23, 2025 0:48 - noch keine Kommentare
Cyber-Versicherungen: Neuer KnowBe4-Bericht zeigt dringenden Bedarf angesichts eskalierender digitaler Bedrohungen auf
weitere Beiträge in Branche
- Der Europäische Datenschutztag am 28. Januar soll Bürger sensibilisieren, die eigenen Daten besser zu schützen
- Gamer geraten ins Phishing-Fadenkreuz
- DORA: Europas neue Cyber-Sicherheitsverordnung stellt nicht nur den Finanzsektor vor Herausforderungen
- NIS-2: Veeam-Umfrage in Deutschland kündet von vielen Baustellen der KRITIS-Betreiber
- Warnung vor neuer Phishing-Angriffskampagne über Reisebüro-Konten
Branche, Umfragen - Dez. 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren