Collaboration

Security – sichere Passwörter, gibt es die wirklich?

Andreas Thumfart12.06.2019
COSMO-CONSULT-Blog-security

Eines der größten Risiken für IT Systeme und Unternehmensdaten stellt ein sogenannter Identitätsdiebstahl dar.

Das Erste woran man dabei denkt sind unsichere Passwörter, die mittels Bruteforce erraten werden oder in die Hände von Unbefugten gelangen. Tatsächlich geht die Bandbreite aber vom einfachen Diebstahl eines Ausweises, über den Diebstahl der digitalen Identität, bis hin zur sogenannten "President Masche", bei der Personen vorgeben eine leitende Person im Unternehmen zu sein und so an geheime Informationen kommen oder unautorisiert Überweisungen freigeben.

Microsoft beschäftigt sich seit Jahren mit der Sicherheit im Internet. Grund ist, dass Microsoft einen der größten Authentifizierungsdienste und vielleicht den größten kommerziellen E-Mail-Dienst betreibt und dort Datensicherheit natürlich an höchster Stelle steht. Diese Technologien stehen auch Unternehmen zur Verfügung.

In diesem Blog Beitrag erläutern wir die Möglichkeiten zum Schutz der Identitäten Ihrer Mitarbeiter*innen, die Ihnen Microsoft 365 bietet.

Sichere Authentifizierung

Der erste Weg ist die Absicherung von Zugangsdaten. Dazu gehören sichere Passwörter, die gewisse Komplexitätsanforderungen erfüllen und regelmäßig geändert werden müssen. Das kann auch in Microsoft 365 bzw. Azure Active Directory mit klassischen Passwortrichtlinien umgesetzt werden. Dabei gilt jedoch trotzdem der Grundsatz "weniger ist mehr". Je komplexer Passwörter sein müssen und je öfter diese geändert werden müssen, desto wahrscheinlicher ist es, dass Mitarbeiter*innen regelmäßig das Passwort vergessen oder nur Kleinigkeiten, wie eine Zahl oder ein Sonderzeichen, am Passwort ändern. Das führt dann im Endeffekt dazu, dass die Passwörter nicht sicherer werden. Viele Empfehlungen gehen daher den Weg, die Richtlinien für die Komplexität gering zu halten, aber Anforderungen an die Passwortlänge zu stellen. Dadurch können einfache Sätze oder Wortkombinationen, welche leichter zu merken sind, als Passwort verwendet werden.

Der nächste Schritt ist die Konfiguration von Passwortalternativen und Authentifizierungsstufen. Zu den Passwortalternativen gehören PIN Codes, Windows Hello und Remote-Devices. Mit Windows Hello ist eine Authentifizierung mittels Fingerabdruck oder Gesichtserkennung gemeint. Diese stehen natürlich nur zur Verfügung, wenn die dafür benötigte Hardware vorhanden ist.  Als Authentifizierung mittels Remote-Device versteht man die Eingabe eines Codes, der via App am Smartphone generiert werden kann oder z. B. via SMS zugesendet wird.

Mehrere Authentifizierungsstufen lassen sich mittels Multi-Faktor-Authentifizierung realisieren. Multi-Faktor-Authentifizierung ist eine der einfachsten Möglichkeiten die Passwortsicherheit zu erhöhen. Dadurch kann man vom Benutzer fordern, dass er einen zusätzlichen Code eingibt, den er via E-Mail oder SMS zugesandt bekommt, oder über die Microsoft Authenticator App auf seinem Smartphone abrufen kann. Dabei kann außerdem unterschieden werden, ob diese immer benötigt wird, oder z. B. nur auf betriebsfremden Geräten und Standorten.

Threat Intelligence

Threat Intelligence bezeichnet im Allgemeinen die Ermittlung und Reaktion auf Bedrohungen in IT-Systemen. Auch Microsoft stellt einen derartigen Dienst zur Verfügung, welcher aktuelle Informationen zur Sicherheit der Benutzeraccounts und Benutzerzugriffen auf die Microsoft 365 Umgebung liefert. Dazu gehören das Erkennen und Überwachen von Angriffen, die Beseitigung von Bedrohungen, sowie die Untersuchung von kritischen E-Mail-Bedrohungen.

Zum Beispiel erkennt Threat Intelligence, wenn von einem Benutzeraccount ein ungewöhnliches Login Verhalten ausgeht. Darunter versteht man zum Beispiel Login-Versuche von unterschiedlichen Ländern, die aber so praktisch nicht möglich sind. Als Beispiel: Ein Login von einem Standort in Wien um 10:00 Uhr, ein weiterer Login aus New York eine Stunde später oder generell ein Login von einem Standort, von dem sich Benutzer normalerweise nie einloggen. Threat Intelligence stuft diese Vorfälle dann ein, liefert einen Überblick über alle Vorfälle in einem Online Portal und kann auch automatisch darauf reagieren.

Hierzu teilt die Threat Intelligence einen Login-Versuch eines Benutzers auch in verschiedene Stufen eines Risiko Ratings (Niedrig bis Hoch) ein. Microsoft wertet dazu verschiedene Faktoren aus: Zum Beispiel, ob sich der Benutzer über ein bekanntes Gerät, also ein Gerät des Unternehmens, einloggt; woher der Login kommt, also z.B. von einer bestimmten Region und z. B. auch wie der Browser abgesichert ist oder versucht die Identität zu verschleiern (Cookies, übermittelte Metadaten). Der Login wird anhand dieser Informationen einer Sicherheitsstufe zugeordnet.

security-blog-bild1
security-blog-bild2

Das Identity Protection Portal zeigt alle Risiken zu User Logins, welche von der Threat Protection erkannt werden, in einer Übersicht an und ermöglicht einen detaillierten Einblick in den Login-Verlauf eines jeden Benutzers.

security-blog-bild3

wöchentliche E-Mail Zusammenfassung zur Identity Protection

Mehr erfahren

Security und Compliance stellen Sie noch vor Herausforderungen? Die Tools von Microsoft unterstützen Sie dabei.

Jetzt lesen!

Conditional Access

Mit Conditional Access Regeln können nun Benutzeraccounts von generell oder bestimmten, besonders kritischen Anwendungen der Microsoft Cloud zusätzlich abgesichert werden. Conditional Access bietet die Möglichkeit auf die vorher beschriebenen automatisch erkannten Risiken und Bedrohungen zu reagieren und den Zugriff auf die Systeme automatisch einzuschränken, ohne dass der Administrator manuell eingreifen muss.

Der Einsatz von automatischen Regeln mittels Conditional Access kann im Zweifelsfall den Verlust von Unternehmensdaten verhindern, denn auch, wenn ein Administrator schnell auf eine Bedrohung reagiert, können innerhalb von wenigen Minuten sensible Informationen kompromittiert werden.

Administrativen Zugang einschränken

Zum Beispiel kann man eine Regel aufstellen, dass beim Zugriff auf das Azure Portal außerhalb der Unternehmensstandorte eine Multi-Faktor-Authentifizierung notwendig ist. So kann man sicherstellen, dass Administratoren innerhalb der Standorte nicht in ihrer Arbeit eingeschränkt werden. Sollten diese aber mobilauf die Admin Oberfläche zugreifen wollen, so müssen sie sich zusätzlich mittels eines Zugangscodes, welcher an das Smartphone übermittelt wird, authentifizieren.

security-blog-bild4

Regeln lassen sich in der Azure Active Directory Verwaltung im Azure Portal setzen.

Unternehmenskritische Daten schützen

Auch bestimmte Anwendungen lassen sich mit Conditional Access zusätzlich absichern. So kann man einstellen, dass für den Zugriff auf SharePoint ab einem bestimmten Risiko Rating die Multi-Faktor-Authentifizierung notwendig ist oder der Zugriff komplett verweigert wird. Das heißt, wenn ein Benutzer von einem Standort, der nicht bekannt ist, oder über einen Browser, der nicht auf einem verwalteten Gerät des Unternehmens läuft, versucht sich in SharePoint einzuloggen, wird anhand dessen das Risiko des Login-Versuchs eingestuft und zusätzlich ein zweiter Authentifizierungscode verlangt oder eben der Zugriff verweigert.

security-blog-bild5

Zugriff wurde aufgrund eines zu hohen Risiko Ratings verweigert

Fazit

Mit der Azure Identity Protection schützen Sie Ihre Benutzeraccounts und Unternehmensdaten zuverlässig vor fremden Zugriffen und erhöhen das Sicherheitslevel Ihrer Microsoft 365 Umgebung damit deutlich. Zusätzlich bietet Ihnen die Azure Identity Protection komfortable Kontrollmöglichkeiten, um unerlaubte Zugriffe auch schnell zu erkennen und Gegenmaßnahmen einzuleiten.

Beitrag teilen

Nehmen Sie Kontakt mit uns auf
Autor:
Andreas Thumfart
Technical Lead Modern Work