gesponsertIT-Sicherheit Passwortsicherheit und NIS-2

Maßnahmen zur sicheren Authentifizierung an Organisationsnetzwerke werden von einer Reihe von Standards, Gesetzen und Rahmenwerken gefordert. Doch welche Rolle spielen Passwörter dabei? Was ist nötig, um Passwörter wieder zu einem starken und verlässlichen Authentifizierungsfaktor zu machen und mögliche Compliance-Vorgaben einzuhalten? Erfahren Sie mehr in diesem Beitrag.

Ob NIS-2, DSGVO, Grundschutz oder DORA: Die gesetzlichen Rahmenbedingungen machen es Unternehmen und öffentlichen Institutionen nicht leicht. Die jeweiligen Verantwortlichen müssen die Vorschriften anwenden, sich aber oft erst Klarheit hinsichtlich der vielfältigen Anforderungen verschaffen. Beispiele:

DSGVO: „Unter Berücksichtigung des Stands der Technik…treffen der Verantwortliche…geeignete TOMs, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten…“

IT-Grundschutz:

• „Passwörter, die leicht zu erraten sind oder in gängigen Passwortlisten geführt werden, DÜRFEN NICHT verwendet werden.“

• „Es MÜSSEN Maßnahmen ergriffen werden, um die Kompromittierung von Passwörtern zu erkennen.“

• IT-Systeme oder Anwendungen SOLLTEN NUR mit einem validen Grund zum Wechsel des Passworts auffordern.

DORA:

„Die Nutzung von Authentifizierungsmethoden ist der gemäß Artikel 8…dem Gesamtrisikoprofil der IKT-Assets angemessen und trägt führenden Praktiken Rechnung…“

NIS-2:

„…Unter dem Begriff „Cyberhygiene“…werden verschiedene grundlegenden Verfahren…umschrieben, welche…zu einer Verbesserung des Cybersicherheitsniveaus… führen können. Dies beinhaltet beispielsweise ein Patchmanagement, Regelungen für sichere Passwörter…“

Starke Passwörter

Zahlreiche Anforderungen also, die hier von den IT-Verantwortlichen erfüllt werden müssen – auch im Hinblick auf mögliche Audits.

Im aktuell noch stark diskutierten Gesetz zur Umsetzung der NIS-2-Richtlinie wird beispielsweise der Begriff „Cyberhygiene“ genauer definiert. Gefordert werden hierbei unter anderem „sichere Passwörter“. Doch was sind sichere Passwörter und wie lassen sich die Anforderungen umsetzen?

Vorgaben nach Komplexität, Länge sowie Passworthistorie lassen sich in Active Directory einfach umsetzen. Dies hilft dabei zu verhindern, dass Angreifer Passwörter einfach erraten können. Forderungen nach der Sperrung von Passwörtern, die bereits kompromittiert sind oder leicht zu erratenden Begriffe enthalten, benötigen Tools von Drittanbietern wie Specops Software GmbH.

Specops Password Policy unterstützt Organisationen dabei, benutzerfreundliche Passwortrichtlinien umzusetzen und gleichzeitig täglich das Active Directory auf über vier Milliarden kompromittierte Kennwörter zu überprüfen.

Unter diesen vier Milliarden Kennwörtern befinden sich nicht nur solche aus bekannten Datenleaks und Passwortlisten, sondern auch Passwörter, die durch das Honeypot-Netzwerk in realen Passwortspraying- und Credentialstuffing-Angriffen verwendet werden, sowie Passwörter, die von Infostealern und Malwareinfektionen von beruflichen und privaten Geräten gestohlen wurden.

Schlummern bereits kompromittierte Kennwörter in Ihrem Active Directory? Der kostenlose Specops Password Auditor hilft Ihnen dabei passwortrelevante Schwachstellen in Ihrer Organisation aufzudecken und zu prüfen, ob Ihre Passwortrichtlinien den aktuellen Vorgaben und Standards entsprechen.

Fazit

Eine Reihe von bestehenden und kommenden Gesetzgebungen und Vorschriften haben es sich zum Ziel gesetzt, die Angreifbarkeit von Firmen- und Behördennetzwerken zu reduzieren und deren Cyberresilienz zu verbessern. Darunter fällt auch die Sicherheit von Authentifizierungsmaßnahmen wie Benutzernahmen und Passwort. Tools von Drittanbietern wie Specops Password Policy helfen Admins und Sicherheitsverantwortliche dabei, aktuelle und zukünftige Anforderungen und Vorgaben umzusetzen und Passwörter wieder zu einem vertrauenswürdigen und „sicheren“ Sicherheitsfaktor zu machen.

Fordern Sie noch heute einen kostenlosen Test von Specops Password Policy an!

(ID:50183812)