HACKER-SCHUTZ: SO MUSS DIE IT-ANMELDUNG 2025 IN UNTERNEHMEN ERFOLGEN
15.11.2024
“123456“ ist das weltweit am häufigsten verwendete Passwort. Wir sehen dieses oder ähnliche Kennwörter immer wieder bei unseren Einsätzen im Bereich der IT-Sicherheit. Um derartige Passwörter in Sekunden zu überwinden, benötigt man nicht einmal eine spezielle Software. Mit einem so gehackten Account können wir bei unseren Pentests regelmäßig die kompletten Netzwerke unserer Kunden einnehmen. Das zeigt, wie wichtig das Thema Authentifizierung ist. In diesem Beitrag geben wir einen Überblick über die Anmeldeverfahren und erklären, welche Variante wir für sicher halten.
Ziel und Problem von Passwörtern
Das primäre Ziel eines Kennwortes ist es, unbefugten Personen den Zugriff zu verwehren und nur autorisierten Nutzern den Zugang zu ermöglichen. Ein Passwort sollte im Idealfall wie ein digitaler Schlüssel funktionieren: Es schützt sensible Informationen und hilft, die Identität des Benutzers sicher zu bestätigen.
Passwörter sind seit Jahrzehnten leider immer noch das Standardmittel, um digitale Systeme abzusichern, denn sie haben gravierende Schwächen. Ein Hauptproblem ist, dass viele Nutzer immer noch einfache und leicht zu erratende Passwörter wählen, wie „123456“ oder „Passwort“. Doch auch komplexere Kombinationen lassen sich durch Brute-Force-Angriffe schnell knacken. Bei dieser Methode probiert ein Hacker systematisch alle möglichen Passwortkombinationen aus, bis er das richtige Passwort gefunden hat. Per Software lassen sich so hunderte Varianten pro Sekunde testen.
Auch komplexere Passwörter bieten keinen vollständigen Schutz, da viele Nutzer dazu neigen, dasselbe Passwort für mehrere Konten zu verwenden. Wird eines dieser Konten gehackt, stehen oft auch die anderen auf dem Spiel.
Zusätzlich gibt es das Problem der Phishing-Angriffe: Angreifer versuchen dabei Nutzer zu täuschen und sie dazu zu bringen, ihre Passwörter preiszugeben. Gerade in Unternehmen, in denen ein Verlust von Zugangsdaten schwerwiegende Folgen haben kann, ist dies ein großes Risiko.
Die IT-Sicherheitswelt arbeitet daher zunehmend an Alternativen, wie biometrischer Authentifizierung oder Multi-Faktor-Authentifizierung (MFA), um den Schutz weiter zu erhöhen und die Abhängigkeit von reinen Passwörtern zu verringern.
Übersicht: Häufig genutzte Anmeldeverfahren
Um Unternehmensdaten und -systeme besser zu schützen, stehen mittlerweile zahlreiche Authentifizierungsverfahren zur Verfügung, die jeweils eigene Vor- und Nachteile mit sich bringen. In der folgenden Tabelle haben wir einen Überblick über die Anmeldeverfahren erstellt und die Vor-/Nachteile beleuchtet, die in der Praxis relevant sind.
| Authentifizierungsverfahren | Erklärung | Vorteile | Nachteile |
|---|---|---|---|
| Passwort | Der Nutzer gibt ein vorher festgelegtes Passwort zur Anmeldung ein. | 1. Einfach und bekannt bei Anwendern 2. Man benötigt keine weiteren Hilfsmittel | 1. Unsicher bei schwachen Passwörtern 2. Anfällig für Phishing und Brute-Force-Angriffe. 3. Wenn mehrfach verwendet, kann es durch gehackte Webseiten bekannt werden. |
| 2-Faktor-Authentifizierung | Eine Erweiterung des Passwort-Verfahrens um einen weiteren (oft zeitbasierten) Code, welcher von einem weiteren Gerät (wie z. B. einem Smartphone) gelesen und eingegeben werden muss | 1. Hohe Sicherheit durch zusätzliche Faktoren; schützt vor Passwortdiebstahl. 2. Relativ komfortabel, da z. B. Smartphones verbreitet sind | 1. Erhöht den Anmeldeaufwand; kann unbequem sein. 2. Schützt nicht vor einem Phishing-Angriff |
| Multi-Faktor-Authentifizierung | Kombination aus mindestens drei Authentifizierungsfaktoren, z. B. Passwort und SMS-Code. | 1. Hohe Sicherheit durch zusätzliche Faktoren 2. Schützt vor Passwortdiebstahl | Erhöht den Anmeldeaufwand zum Teil deutlich; kann unbequem sein. |
| Client-Zertifikate | Ein Authentifizierungsverfahren über Dateien, die dem Browser hinzugefügt werden (Beispiel: Elster Steuerverwaltung) | 1. Es muss sich kein Kennwort gemerkt werden 2. Durch die Größe (Länge) eines Zertifikats ist es in der Regel nicht durch Angriffe zurückzurechnen | Das Zertifikat muss zum selben Server passen, damit eine Authentifizierung erfolgen 2. Kann von einem Angreifer entwendet werden. |
| Passkey (Tokenbasierte Authentifizierung) | Ein technisches Verfahren, welches nur funktioniert, wenn der Zielserver den Passkey und der Passkey den Zielserver kennt. Stimmt eine dieser beiden Seiten nicht (Thema Phishing-Angriff), ist eine Authentifizierung technisch nicht möglich. Es gibt viele Passkeys, es sollte allerdings darauf geachtet werden, dass diese Passkeys von der FIDO Alliance geprüft und zertifiziert worden sind. | Das aktuell empfohlene Verfahren. Durch eine Bestätigung auf einem weiteren Gerät (Handy, YubiKey, etc.) kann ein Log-in erfolgen, wenn der Passkey die Zielseite und die Zielseite den Passkey kennt. | 1. Verlust des Tokens kann zum Ausschluss führen 2. Zusätzliche Kosten und Aufwand |
| Biometrische Authentifizierung | Verifizierung durch biometrische Merkmale wie Fingerabdruck, Gesichtserkennung oder Iris-Scan. | 1. Hohe Sicherheit 2. Schwer zu fälschen 3. Bequem für den Nutzer. | 1. Teure Hardware erforderlich 2. Datenschutzbedenken |
| Einmal Passwörter (OTP) | Kurzzeitige, nur einmal gültige Codes, oft per App oder SMS generiert. | 1. Sehr sicher 2. Kein dauerhafter Passwortspeicher erforderlich 3. Schützt vor Brute-Force-Angriffen | 1. Abhängig von zusätzlicher Hardware oder App 2. Kann unpraktisch sein |
| Single Sign-On (SSO) | Einmalige Anmeldung ermöglicht Zugang zu mehreren Diensten ohne erneute Eingabe der Zugangsdaten. | 1. Bequem und effizient 2. reduziert Passwortmüdigkeit und erleichtert Verwaltung | 1. Bei Missbrauch können mehrere Dienste gefährdet sein 2. hoher Aufwand für Einrichtung und Pflege |
| Verhaltensbasierte Authentifizierung | Analyse von typischen Verhaltensmustern, z. B. Tippgeschwindigkeit oder Standort. | 1. Innovativ und sicher gegen untypische Anmeldeversuche 2. Komfortabel für den Nutzer | 1. Benötigt viel Datenanalyse 2. Datenschutzbedenken 3. Noch wenig verbreitet |
Unsere Empfehlung: Passkeys statt des klassischen Passwortes
Unsere Erfahrung der letzten Jahre im Incident-Response (die Betreuung von Kunden unmittelbar nach einem erfolgreichen Angriff auf deren IT-Infrastruktur) zeigt eindeutig, dass Passwörter auch inklusive sämtlicher Arten von 2-Faktor-Authentifizierung einem automatisiertem Angriff nicht standhalten können und damit veraltet sind.
Eine Mehrfaktor-Authentifizierung hilft zwar noch gegen sogenannte “Passwort Breaches” (dies beschreibt das Bekanntwerden von Passwörtern, wenn diese mehrfach verwendet sind und diese durch einen Hack auf ein anderes System bekannt werden), kann aber einem Phishing-Angriff nicht standhalten.
Das Einzige, was in der Praxis einen dauerhaften Schutz bietet, ist das Phishing resistente Verfahren “Passkeys“. Das nachfolgende Schaubild erläutert die von Trufflepig vorgeschlagene Art, wie eine vollständige Authentifizierung innerhalb einer Organisation implementiert werden sollte.
Es sollte allerdings darauf geachtet werden, dass diese mittels des Standards “FIDO2” zertifiziert worden sind (ein Standard, der 2015 ins Leben gerufen wurde. Er verhindert technisch das Eingeben von Zugangsdaten auf Webseiten Dritter). Ob ein bevorzugter Passkey diesen Standard verfolgt, kann mithilfe der öffentlichen Datenbank eingesehen werden.
Das Problem des unsicheren Log-ins am Windows-Arbeitsplatz
Viele Systeme (darunter die Anmeldung am Windows-Arbeitsplatz) unterstützen in der heutigen Zeit nicht vollumfänglich die Verwendung von Passkeys.
In der Praxis lässt sich das nicht immer vermeiden, weshalb oft ein Kompromiss eingegangen werden muss – ein klassisches Passwort.
Beim Onboarding neuer Mitarbeiter sollten Sie ein Kennwort mit mindestens 32 Zeichen generieren und dieses nicht mehr frei vom Endnutzer wählen lassen.
Wichtig: Der Mitarbeiter benötigt dieses Kennwort nur bei der Inbetriebnahme eines neuen Arbeitsgerätes, danach kann dieses Kennwort vergessen und vernichtet werden.
Als nächsten Schritt empfehlen wir das Erzwingen von “Windows Hello” an den Arbeitsplätzen. Es ist eine Alternative zum klassischen Passwort-Log-in an Windows-Geräten, um den Arbeitsplatz zu entsperren. Eine Vielzahl von Authentifizierungsmöglichkeiten kann hier gewählt werden:
- Fingerabdruck
- Gesichtserkennung (bitte nur mit Infrarot-Kameras, welche eine 3D-Erkennung haben, ansonsten reicht ein gutes Bild eines Mitarbeiters, um das System zu entsperren)
- PIN (eine PIN ist nicht unbedingt schlechter, allerdings sollten Sie darauf achten, dass nach einer maximalen Falscheingabe von 3x der PIN gesperrt wird und der Mitarbeiter sich bei der IT melden muss)
Vorteil von “Windows Hello”: Die Authentifizierung wird ausschließlich lokal auf dem System durchgeführt. Ein Angriff aus der Ferne wird damit unterbunden.
So melden Sie sich sicher an weiteren Systemen an
Es gibt im Unternehmen viele verschiedene Systeme, welche für ein sicheres Netzwerk eine Authentifizierung erfordern. Das Schaubild veranschaulicht verschiedene Möglichkeiten, die von sicheren (zentral verwaltbar, nicht angreifbar durch einen Angreifer) bis zu unsicheren Methoden reichen.
Leider unterstützen selbst heutzutage bislang nicht alle Systeme den seit 2015 entwickelten, aktuell als Phishing-resistent geltenden Standard FIDO2.
Global sicher: Unternehmensweite Anmeldung mittels Single Sign-On (SSO)
Grundsätzlich empfehlen wir eine unternehmensweite Umsetzung einer SSO (Single Sign-On) Lösung.
Single Sign-On (SSO) ist ein Authentifizierungsverfahren, bei dem sich Nutzer einmalig anmelden und anschließend Zugang zu mehreren, miteinander verbundenen Anwendungen oder Diensten erhalten, ohne sich erneut anmelden zu müssen. Dies vereinfacht den Anmeldeprozess und spart Zeit, da Nutzer nur ein einziges Passwort benötigen und damit alle autorisierten Systeme nutzen können.
Dies bietet zwei grundlegende Vorteile:
- Authentifizierungsrichtlinien können an einer zentralen Stelle festgelegt und verwaltet werden, es gibt keine Ausnahmen dieser Regel.
- Das On- sowie Offboarding wird leichter, da Mitarbeiter basierend auf den zugehörigen Gruppen Zugänge erhalten, anstatt durch individuell angelegte Accounts. Bildlich gesprochen: In der Einkaufsabteilung verfügt jeder Mitarbeiter über einen Amazon-Account, der vom Abteilungsleiter eingerichtet wird. Wechselt ein Mitarbeiter in eine andere Abteilung oder verlässt das Unternehmen, wird häufig vergessen, diesen Account zu sperren, was ein erhebliches Sicherheitsrisiko darstellt. Mit einem SSO wird die Benutzergruppe entfernt oder der Benutzer gesperrt, wodurch die Berechtigung zum Einloggen in das System (in diesem Fall Amazon) automatisch verfällt.
Ein Log-in via SSO sieht z. B. so aus: In diesem Beispiel erfolgt die Anmeldung über Google / Entra ID (Microsoft). Dieses bietet den Nutzern den Vorteil, dass sie sich einmal am System (z. B. Microsoft) einloggen und anschließend ohne erneute Authentifizierung auf die notwendigen Tools zugreifen können.
Alternative Anmeldungen
Authentifizierung mittels Remote Desktop Protocol
Das Remote Desktop Protocol (RDP) wurde von Microsoft entwickelt und ermöglicht die Verbindung von einem Computer zu einem anderen Computer im Netzwerk.
Clients ab Windows 10 und Server ab Windows Server 2022, welche in der “Azure Active Directory” (damit gemeint ist die Active Directory in der Cloud von Microsoft selbst) sind, können für RDP-Benutzer in der Gruppenrichtlinie (der Verwaltung von Einstellungen an den Windows-Geräten) für den Log-in einen Security-Key hinterlegen. Hierzu gibt es eine empfehlenswerte Anleitung von Token2.
Authentifizierung über einen Radius-Server
RADIUS bedeutet “Remote Authentication Dial-In User Service (RADIUS)”. Es handelt sich um einen zentralen Authentifizierungsserver. Via VPN können sich Clients in einem Netzwerk einwählen.
Einige Firmennetzwerke verfahren nach dem Zero-Trust-Prinzip. Es bedeutet, dass eine Komponente im Netzwerk vertraut werden kann, bis diese sich authentifiziert hat. Hier sehen wir in der Praxis häufiger RADIUS-Sever. Dieser Radius-Server muss dann im VPN, aber auch bei der 802.1x Authentifizierung hinterlegt werden, um die Authentifizierung mittels FIDO2 zu erzwingen.
Leider unterstützt auch der integrierte Windows-Radius-Server aktuell noch keine Passkeys, weswegen wir für diese Art der Authentifizierung einen Radius-Server wie FreeRADIUS empfehlen.
Webseiten / Tools ohne SSO
Teilweise gibt es Seiten, welche zwar kein SSO unterstützen, jedoch die Verwendung von Passkeys erlauben. Manchmal werden auch (z. B. bei Softwareentwicklern mit Github) private Accounts verwendet. Hier sollte zusätzlich die Verwendung von FIDO2 erzwungen, genauer gesagt gefordert werden.
Das Problem: Da diese Accounts nicht zentral verwaltet werden können, wird oft vergessen, nach einem Abteilungswechsel oder nach dem Ausscheiden dieses Mitarbeiters die Zugangsrechte wieder zu entziehen. Dies kann zu Compliance-Verstößen oder nachträglichen Angriffen auf Ihr Unternehmen führen, wenn Zugänge nicht zuverlässig gesperrt werden.
Sonderfall: Software, die nur Passwörter erlaubt
Bedauerlicherweise gibt es nach wie vor einzelne Programme, die keinen Passkey erlauben. Wenn es keine Alternative gibt, die sicherer ist, empfehlen wir, einen unternehmensweiten Passwort-Store wie Vaultwarden oder Bitwarden inklusive der entsprechenden Browser-Erweiterung einzuführen. Das ermöglicht Mitarbeitern einen leichteren Umgang.
Der Zugang zu diesem Passwort-Store selbst sollte allerdings in jedem Fall über SSO oder zumindest Passkeys erfolgen.
In diesem Passwort-Tresor sollte dann für jeden Zugang, welcher ein Passwort erzwingt, ein eigenes, auf Entropie basierendes Kennwort mit mindestens 32 Zeichen erzeugt werden. Diese Kennwörter müssen nie selbst eingetragen werden, sondern können über diese Lösung immer mittels Copy-and-paste, oder mittels des Browser-Plug-ins selbst eingetragen werden. Ebenfalls ist es empfehlenswert, ein TOTP (Time-Based One-Time Password) zu jedem Log-in zu hinterlegen. Es ist die wohl bekannteste Art der Zwei-Faktor-Authentifizierung. Klassischerweise handelt es sich um einen sechsstelligen Zahlencode, der aus einer App, z. B. vom Smartphone, eingegeben wird. Dieses kann ebenfalls in dem entsprechenden Passwort-Store hinterlegt werden und soll nur vor Angriffen auf die Datenbank des Zielsystems schützen.
Wichtig: Wie auch bei der vorherigen Lösung kann vergessen werden, Accounts zu sperren – etwa nach einem Abteilungswechsel oder Ausscheiden eines Mitarbeiters.
Zudem ist der letzte Schritt, das Eingeben des Passwortes, nicht vor Phishing-Angriffen sicher. Der Angreifer könnte die Authentifizierung angreifen, entwenden und sich somit in die Benutzer-Session des Mitarbeiters einloggen. Dieser Weg sollte der letzte Ausweg sein, wenn kein SSO, kein Passkey, kein RADIUS unterstützt wird.
Weiterführende Fragen zum Thema (FAQ)
- Was passiert, wenn ein Mitarbeiter seinen Passkey vergessen hat?
Über die SSO-Lösung können Sie selbst einen neuen Passkey hinterlegen oder ein einmal gültiges Notfall-Kennwort zuweisen. - Was passiert, wenn ein Mitarbeiter seinen Passkey verloren oder vergessen hat?
Wie auch schon heute: Wenn ein Mitarbeiter sein Kennwort vergisst, können Sie mittels der eingesetzten SSO-Lösung an zentraler Stelle einen neuen Passkey zuweisen, oder beim Vergessen auch ein einmal gültiges Kennwort hinterlegen. Außerdem sollte der verlorene Passkey zusätzlich aus dem Account entfernt werden. - Wie richte ich einen Passkey ein?
Zunächst empfehlen wir in der SSO-Lösung, die Verwendung von Passkeys zu erzwingen und Passwörter zu deaktivieren. In der entsprechenden Lösung klicken Sie dann auf “Passkey hinzufügen” und können zwischen Hardware Token (Token2, YubiKey), einer integrierten Lösung (Windows Hello, iOS Passkeys), oder auch Mobiltelefonen wählen. Der Browser wird Sie jetzt durch das Einrichten dieser Lösung leiten. - Welche Art von Passkey ist die richtige?
Dies kann nicht pauschalisiert werden. Grundsätzlich sollte die angestrebte Lösung FIDO2 zertifiziert sein. Allerdings kann es besonders dann, wenn das Zutrittskonzept vor Ort vorsieht, dass alle Türen abgeschlossen sind und ein Türcode benötigt wird, um beispielsweise zur Toilette zu gehen, praktisch sein, einen Hardware-Token zu verwenden, der auch NFC unterstützt. Dies erweist sich als vorteilhaft, da es stets am Mitarbeiter verbleibt. In diesem Fall könnte dieser Token sogar als “Companion device” für Windows Hello verwendet werden, um den Arbeitsplatz zu entsperren.