Foto Marcus Kaber, Geschäftsführer Specops Software

„Passwortsicherheit wird meist erst nach einer Datenpanne Priorität eingeräumt“

Interview mit Marcus Kaber, Geschäftsführer der Firma Specops Software, zu den verschiedenen Aspekten von Passwort-Sicherheit

Während der Corona-Pandemie nahmen Cyberattacken um das Fünffache zu und brachten zahlreiche Organisationen in Bedrängnis. Wie Passwort-Sicherheit erreicht werden kann, auch wenn Mitarbeiter im Homeoffice arbeiten, wie bei kompromittierten Passwörtern gehandelt wird und welche Erfahrungen eine schwedische Kommune mit der Lösung uReset gemacht hat, darüber spricht Geschäftsführer Marcus Kaber im Interview.

Diane Schöppe

Die Corona-Pandemie hat die Geschäftsprozesse in Verwaltung und Wirtschaft stark beeinflusst. Konnten Sie eine veränderte Nachfrage nach Ihren Lösungen verzeichnen? 

Marcus Kaber: Seit Beginn der Corona-Pandemie ist das Interesse an unseren Lösungen, die die Passwort-Sicherheit in  Organisationen erhöhen, gestiegen. Das hat vor allem zwei Gründe: Zum einen sind sehr viele Mitarbeiter ins Homeoffice gewechselt, zum anderen haben die Cyberangriffe stark zugenommen. Die meisten Organisationen waren nicht darauf vorbereitet, dass alle ihre Mitarbeiter von einem Tag auf den anderen vom Büro zur Arbeit zu Hause wechseln. Die unbeabsichtigte Folge war, dass die IT-Abteilungen Wege finden mussten, um den Mitarbeitern zu helfen, produktiv zu bleiben  ohne dabei die Sicherheit zu opfern.

Macht es einen Unterschied, ob ein Mitarbeiter im Homeoffice oder im Büro sein Passwort ändert?

Absolut! Zum Beispiel kommt es zu einem Problem, wenn der Benutzer sein Passwort im Homeoffice ändert (cached credentials). Denn herkömmlicherweise wird das Passwort im Active Directory geändert, nicht jedoch auf dem PC des Nutzers in den Cached Credentials. Die einzige Möglichkeit, dieses Problem zu beheben, bestand darin, dass die Mitarbeiter ihren PC ins Büro bringen mussten, um sich erneut mit dem Netzwerk zu verbinden, damit die zwischengespeicherten Anmeldeinformationen aktualisiert werden konnten. Mit der Anweisung, zu Hause zu bleiben, war dies nicht möglich. Unsere Lösung, Specops uReset, verfügte bereits über die Fähigkeit, die lokal zwischengespeicherten Anmeldedaten unabhängig vom physischen Standort zu aktualisieren das hat zu einem Anstieg des Interesses geführt und viele Unternehmen und Organisationen dazu veranlasst, diese Lösung zu implementieren.

Welche Rolle spielen die Cyberattacken?

Je länger die Pandemie dauerte, um so stärker eskalierte die Zahl der Cyberangriffe. Namhafte Organisationen wie die Weltgesundheitsorganisation haben von einer Verfünffachung der Cyberangriffe bis April 2020 berichtet. Nicht nur bekannte Organisationen standen unter Beschuss, auch kleine und mittelständische Unternehmen und Organisationen wandten sich an uns, um die Verwendung von schwachen und kompromittierten Passwörtern innerhalb ihrer IT-Umgebungen zu unterbinden. Der 2020 Data Breach Investigations Report von Verizon zeigt, dass verlorene oder gestohlene Anmeldedaten 81 Prozent der Hacking-Verstöße ausmachten. Das kontinuierliche Aufspüren, Entfernen und Blockieren von kompromittierten Passwörtern ist eine wichtige Grundlage für die Passwortsicherheit.

Sie bieten Passwort-Management- und Authentifizierungslösungen an, einen wichtigen Grundbaustein der IT-Security. Sehen Sie Unterschiede zwischen Behörden und Privatwirtschaft im Umgang mit dieser Sicherheitsmaßnahme?

Es gibt keine generellen Unterschiede zwischen dem Umgang mit Passwort- und Authentifizierungssicherheit in Behörden und im privaten Sektor. Der Unterschied ergibt sich aus anderen Faktoren, zum Beispiel ob das Unternehmen oder die Organisation in der Vergangenheit eine Datenverletzung erlebt hat oder mit Geldstrafen für die Nichteinhaltung von IT-Sicherheitsvorschriften rechnen muss. Dies sind die wichtigsten Faktoren dafür, wie ernst dieses Risiko genommen wird. Viele Organisationen sehen sich selbst nicht als potenzielles Ziel und glauben fälschlicherweise, dass ihre Daten keinen Wert haben. Leider wird der Passwortsicherheit oft erst dann Priorität eingeräumt, wenn es bereits zu einer Datenpanne gekommen ist. 

Specops Software ist ein schwedisches Unternehmen und betreut auch Kunden in der schwedischen Verwaltung. Wie ist Ihre Einschätzung: Gibt es generelle Unterschiede zwischen den Behörden in Deutschland und Schweden in puncto Digitalisierung?

Öffentliche Behörden in Deutschland und Schweden stehen vor ähnlichen Herausforderungen der digitalen Transformation. Ein Unterschied besteht darin, dass in Deutschland der Datenschutz eine größere Rolle spielt, während in Schweden persönliche Daten eher öffentlich zugänglich sind.

Eine Reihe schwedischer Gemeinden setzt in Sachen Passwortsicherheit auf Ihre Lösungen. 

Für die Gemeinde Sollefteå in der Provinz Västersnorrlands län haben wir mit Specops Password Policy und der Self Service Password Reset Lösung Specops uReset die Passwortsicherheit signifikant erhöhen und die Anzahl der passwortbezogenen Supportanfragen deutlich reduzieren können. Ziel war es, starke Passwortrichtlinien hauptsächlich für IT-Mitarbeiter, die den aktuellen Empfehlungen von Sicherheitsbehörden entsprechen, einzurichten. 

Was leistet die Lösung uReset? 

Vor dem Einsatz von uReset setzte man in der Gemeinde Sollefteå Sicherheitsfragen ein, um Mitarbeiter eindeutig zu authentifizieren und anschließend den Passwort Reset durchzuführen. Das Problem war, dass die Benutzer ihre eigenen Antworten auf diese Sicherheitsfragen immer wieder vergessen haben und dadurch regelmäßig den IT-Support anrufen mussten. Durch den Wechsel zu uReset konnte die Anzahl der auf Passwort bezogenen Supportanrufe deutlich reduziert werden.

Die Nutzer können mit uReset jetzt mehrere MFA-Methoden zur Authentisierung verwenden um ihr Passwort eigenständig zurückzusetzen. Zum Einsatz kommt hier hauptsächlich die Authentifizierung mit BankID, einem Identifikationsdienst, welcher in Schweden weit verbreitet ist. Mit uReset können die Nutzer jetzt auch selbst entscheiden, wie lange es dauern soll, bis Ihr Passwort abläuft. Je länger und damit stärker das von ihnen gewählte Passwort ist, desto länger ist der Zeitraum, bis das Passwort abläuft. Eingestellt hat man Ablaufintervalle von 60, 70 und 90 Tagen.

Mit welchen Innovationen sind Sie in der letzten Zeit auf den Markt gegangen?

Im Jahr 2020 haben wir eine neue Innovation eingeführt. Die Software Secure Service Desk ermöglicht es einem Service-Desk-Agenten (Mitarbeitern), einen Benutzer aufzufordern, sich mit einer Multi-Faktor-Authentifizierung zu verifizieren, bevor er sein Passwort zurücksetzt oder eine andere IT-bezogene Aufgabe mit dem Helpdesk durchführt. Diese zeitgemäße Lösung verhindert Social-Engineering-Schwachstellen.

Herr Kaber, vielen Dank für das Gespräch!

 

Und das sagen die Nutzer:

»

Die Installation ging aufgrund der engen Zusammenarbeit mit den Produktspezialisten von Specops reibungslos und einfach vonstatten. Die Herausforderung war es, die Benutzer zu informieren. Dies konnten wir durch den 10 Schritte umfassenden Rollout Plan von Specops aber gut bewältigen.

Durch den Einsatz von uReset müssen wir nicht mehr so viel Zeit für Anfragen mit Bezug auf Passwörter aufwenden. Die Benutzer haben darüber hinaus aus eigenem Antrieb die Sicherheit ihrer Passwörter erhöht, was zu weniger Supportanfragen führt, sowie zu einer erhöhten Sicherheit. Die IT-Abteilung kann ihre Zeit nun auf andere wichtige Themen verwenden, was auch den Anwendern zugutekommt.

«
Mikael Stenberg Technischer Projektleiter in der Gemeinde Sollefteå