I. Kontext und Definition des Risikos
Die Passwortsicherheit betrifft den Schutz von Authentifizierungsinformationen, die Benutzer verwenden, um auf Konten, Systeme oder Dienste zuzugreifen.
Ein schwaches oder wiederverwendetes Passwort erleichtert Angreifern den unbefugten Zugriff auf Konten durch automatisierte Angriffe (Brute Force, Credential Stuffing usw.).
Angriffe nutzen häufig bereits kompromittierte Passwortdatenbanken, um diese auf anderen Diensten erneut zu verwenden.
70 % der Datenschutzverletzungen stehen im Zusammenhang mit schwachen oder leicht zu erratenden Passwörtern.
Eine ungeschützte Datenbank mit mehr als 2,7 Milliarden WLAN-Zugangsdaten und Passwörtern wurde im Klartext exponiert entdeckt und stellt ein ernstes Risiko für unbefugten Zugriff auf Netzwerke dar.
Eine Studie berichtet, dass eine große Anzahl automatisierter Angriffe gängige Passwörter ausnutzt und Kombinationen testet, bis eine gültige Übereinstimmung gefunden wird.
Konkrete Beispiele
Diebstahl eines persönlichen Kontos: Wenn du dasselbe Passwort auf mehreren Websites verwendest, kann eine Sicherheitsverletzung einer Website es Angreifern ermöglichen, auf dein E-Mail-, Bank- oder Social-Media-Konto zuzugreifen.
Credential Stuffing: Ein Angreifer sammelt kompromittierte Passwörter und testet sie automatisch auf Tausenden von Diensten, um andere Konten zu kompromittieren.
Brute-Force-Angriff: Automatisierte Bots versuchen Millionen von Passwortkombinationen auf einem Dienst, bis sie die richtige finden.
II. Was ist Passwortsicherheit?
Die Passwortsicherheit basiert auf mehreren wesentlichen technischen Grundlagen:
Sichere Speicherung (Hashing und Verschlüsselung)
Multi-Faktor-Authentifizierung (MFA)
Single Sign-On (SSO)
Verzeichnis- und Identitätsmanagement
Sichere Passwortspeicherung
Ein Passwort darf niemals im Klartext gespeichert werden.
Ein sicheres System speichert niemals das Passwort selbst, sondern einen kryptografischen Fingerabdruck (Hash), der aus dem Passwort abgeleitet wird und dafür ausgelegt ist:
Nicht umkehrbar
Resistent gegen Brute-Force-Angriffe
Für jeden Benutzer eindeutig
Ein sicherer Speichermechanismus muss widerstandsfähig sein gegen:
Datenbanklecks
Wörterbuchangriffe
Brute-Force-Angriffe
Teilweise Systemkompromittierung
Multi-Faktor-Authentifizierung (MFA)
Kombination von mindestens zwei Faktoren aus:
Etwas, das man weiß (Passwort, PIN).
Etwas, das man besitzt (Smartphone, Hardware-Token).
Etwas, das man ist (Fingerabdruck, Gesichtserkennung).
Vorteil: Selbst wenn ein Passwort kompromittiert ist, bleibt der Zugriff ohne den zweiten Faktor blockiert.
Beispiele: Anwendungen wie Microsoft Authenticator, Versand einer E-Mail mit einem einmaligen Code usw.
Single Sign-On (SSO)
Ein einzelner Benutzername/Passwort für den Zugriff auf mehrere Dienste.
Technologien:
SAML, OAuth 2.0, OpenID Connect.
Integration mit Lösungen wie Microsoft Entra ID oder Keycloak.
Vorteil: Verbessert die Benutzererfahrung und reduziert die Anzahl der zu verwaltenden Passwörter.
Risiko: Wenn das SSO-Konto kompromittiert ist, sind alle damit verbundenen Dienste ebenfalls kompromittiert → erfordert eine obligatorische MFA.
Identitäts- und Verzeichnismanagement
Das Identitäts- und Verzeichnismanagement besteht darin zu wissen, wer wer ist, welche Rechte jede Person besitzt und wo diese Informationen gespeichert und abgerufen werden.
Active Directory (AD):
Microsoft-Standard zur Verwaltung von Benutzern, Gruppen und Sicherheitsrichtlinien.
Integration mit Kerberos zur Authentifizierung.
OpenLDAP:
Open-Source-Alternative auf Basis des LDAP-Protokolls.
Wird zur Zentralisierung der Identitätsverwaltung in heterogenen Umgebungen verwendet.
Schlüsselfunktionen:
Verwaltung der Zugriffsrechte.
Richtlinien zur Passwortkomplexität und -rotation.
Ein Verzeichnis ist eine spezialisierte Datenbank, optimiert für:
Häufige Lesezugriffe
Schnelle Suche
Hierarchische Verwaltung
Es zentralisiert Identitätsinformationen.
Das Verzeichnis ist wie eine Quelle der Wahrheit für Identitäten.
Es ermöglicht:
Zentrale Authentifizierung
Gruppenverwaltung
Zugriffskontrolle
Durchsetzung von Sicherheitsrichtlinien
Beispiele für Verzeichnisse
Active Directory (AD)
LDAP
Entra ID
OpenLDAP
Typischer Inhalt eines Verzeichnisses
Benutzer
Gruppen
Computer
Rollen
Sicherheitsrichtlinien
Mögliche Auswirkungen auf Unternehmen
Kompromittierung von Benutzerkonten
Ein schwaches oder wiederverwendetes Passwort wird erraten oder gestohlen.
Folge: Unbefugter Zugriff auf interne Systeme, Abfluss sensibler Daten.
Phishing-Angriff
Mitarbeiter werden getäuscht und geben ihre Zugangsdaten preis.
Folge: Übernahme von E-Mail-Postfächern, Verbreitung von Malware, Identitätsdiebstahl.
Fehlende oder umgangene MFA
Ein Angreifer erlangt ein gültiges Passwort und greift direkt auf Ressourcen zu.
Folge: Vollständige Kompromittierung des SSO-Kontos, Zugriff auf mehrere kritische Anwendungen.
Schlechte Verzeichnisverwaltung (AD/OpenLDAP)
Verwaiste Konten werden nicht deaktiviert, übermäßige Rechte werden nicht kontrolliert.
Folge: Privilegieneskalation, interne oder externe Ausnutzung.
Leck einer Passwortdatenbank
Schwaches Hashing
Folge: Schnelles Knacken der Passwörter, massenhafte Kompromittierung.
IoT-Sicherheit im Unternehmen
Die IoT-Sicherheit (Internet of Things) im Unternehmen betrifft den Schutz vernetzter Objekte, die in das Informationssystem (IS) integriert sind. Diese Geräte (Sensoren, IP-Kameras, industrielle Steuerungen, vernetzte Ausweise, intelligente Netzwerkgeräte) werden zunehmend eingesetzt, um Geschäftsprozesse zu optimieren.
Die Integration von IoT erhöht jedoch die Angriffsfläche des IS. Ein schlecht gesichertes vernetztes Objekt kann zu einem Einstiegspunkt für Angreifer werden und die Verfügbarkeit, Integrität oder Vertraulichkeit der Unternehmensdaten gefährden.
I. Rolle des IoT im Informationssystem des Unternehmens
Im beruflichen Kontext ermöglicht das IoT:
Erfassung von Daten in Echtzeit
Automatisierung von Geschäftsprozessen
Verbesserung von Überwachung und Wartung
Optimierung von Kosten und Leistung
Beispiele für den Einsatz im Unternehmen:
Industrie: Steuerungen, Produktionssensoren, vorausschauende Wartung.
Logistik: Rückverfolgbarkeit von Beständen und Waren.
Büroumgebungen: Zugangskontrolle, Videoüberwachung, Energiemanagement.
Gesundheitswesen: Vernetzte medizinische Geräte.
Diese Geräte sind in der Regel mit dem lokalen Netzwerk oder der Cloud verbunden und somit vollständig in das IS integriert.
II. Technische Grundlage des Themas
Die IoT-Sicherheit basiert auf technischen Grundlagen wie Identitätsmanagement, Passwortsicherheit, Verschlüsselung der Kommunikation, Netzwerksegmentierung und Überwachung. Diese Elemente bilden die unverzichtbare Basis für den Schutz vernetzter Objekte im Unternehmen.
Mögliche Auswirkungen im Zusammenhang mit IoT
Vernetzte Objekte weisen häufig Sicherheitslücken auf:
Standard- oder schwache Passwörter
Unverschlüsselte Kommunikationsprotokolle
Fehlende oder verspätete Updates
Mangelnde Überwachung durch IT-Teams
Unzureichende Netzwerksegmentierung
Eine Kompromittierung eines IoT-Geräts kann ermöglichen:
Eindringen in das interne Netzwerk
Seitliche Bewegungen zu Servern oder Benutzerarbeitsplätzen
Exfiltration sensibler Daten
Störung kritischer Dienste
Konkrete Beispiele für IoT-Vorfälle im Unternehmen
Botnetze und DDoS-Angriffe
Schlecht gesicherte professionelle IoT-Geräte (IP-Kameras, Router, Videorekorder) können in Botnetze integriert werden. Diese Botnetze werden für groß angelegte DDoS-Angriffe genutzt und beeinträchtigen die Verfügbarkeit von Online-Diensten.
Kompromittierte Unternehmens-IP-Kameras
Unternehmen haben Einbrüche über IP-Kameras erlitten, die mit Standardzugangsdaten aus dem Internet erreichbar waren. Angreifer konnten Räumlichkeiten überwachen und sensible Informationen sammeln.
Industrielle Umgebungen
Im industriellen Bereich kann ein Angriff auf vernetzte Steuerungen oder Sensoren zu Produktionsstillständen, Manipulation von Überwachungsdaten oder Risiken für die Sicherheit der Mitarbeiter führen.
III. Mögliche Auswirkungen auf Unternehmen
Die Folgen eines IoT-Angriffs können vielfältig sein:
Nichtverfügbarkeit von Diensten (Produktionsstillstand, Netzwerkausfall)
Direkte und indirekte finanzielle Verluste
Beeinträchtigung der Vertraulichkeit von Daten (Kunden, Mitarbeiter)
Schädigung des Markenimages
Nichteinhaltung gesetzlicher Vorschriften (DSGVO, Sicherheitsanforderungen)
Für ein KMU ebenso wie für ein großes Unternehmen können diese Auswirkungen kritisch sein.
Bewährte Verfahren zur Absicherung des IoT
Im Rahmen der Administration und Absicherung des IS wird empfohlen:
• Inventarisierung der mit dem Netzwerk verbundenen IoT-Geräte
• Systematisches Ändern der Standardzugangsdaten
• Implementierung einer Verschlüsselung der Kommunikation, wenn möglich
• Netzwerksegmentierung (dedizierte VLANs für IoT)
• Einschränkung des Zugriffs durch Firewall-Regeln
• Überwachung von Logs und Netzwerkverkehr
• Anwendung einer Update-Politik
• Sensibilisierung der Benutzer und technischen Teams
IV. In Unternehmen umgesetzte Richtlinien zur Risikoreduzierung
Um Risiken im Zusammenhang mit vernetzten Objekten zu begrenzen, setzen Unternehmen Sicherheitsrichtlinien ein, die an ihr Informationssystem angepasst sind.
Auf technischer Ebene werden mehrere Maßnahmen umgesetzt:
Begrenzung der Zugriffsrechte auf IoT-Geräte
Netzwerksegmentierung mit dedizierten Netzwerken für vernetzte Objekte
Regelmäßige Aktualisierung von Geräten und Firmware
Verschlüsselung der Kommunikation, wenn möglich
Auf organisatorischer Ebene setzen Unternehmen um:
Ein Inventar der mit dem Netzwerk verbundenen IoT-Geräte
Verfahren zur Installation und Entfernung von Geräten
Einen Sicherheitsvorfall-Managementplan
Einhaltung gesetzlicher Verpflichtungen, insbesondere der DSGVO
Diese Richtlinien reduzieren die Angriffsfläche und verbessern die Kontrolle über IoT-bezogene Risiken.
V. Der menschliche Faktor im IoT-Risiko
Der menschliche Faktor stellt ein wichtiges Element in der Sicherheit vernetzter Objekte dar. Ein Bedienfehler oder eine Fehlkonfiguration kann eine Sicherheitslücke verursachen.
Die wichtigsten Risiken im Zusammenhang mit dem menschlichen Faktor sind:
Verwendung schwacher oder gemeinsam genutzter Passwörter
Fehlkonfiguration von IoT-Geräten
Fehlende oder verspätete Updates
Anschluss nicht autorisierter Geräte an das Netzwerk
Mangelnde Wachsamkeit gegenüber Cyberangriffen
Zur Begrenzung dieser Risiken setzen Unternehmen um:
Maßnahmen zur Sensibilisierung für Cybersicherheit
Schulungen für Benutzer und technische Teams
Klare Nutzungsregeln für vernetzte Geräte
VII. Sicherheitsprüfungen, Kontrollen und Audits
Sicherheitsprüfungen und Kontrollen ermöglichen es, die Wirksamkeit der umgesetzten Maßnahmen zu überprüfen und potenzielle Schwachstellen zu identifizieren.
Penetrationstests (Pentests) ermöglichen:
Identifizierung von Schwachstellen in IoT-Geräten
Überprüfung der Widerstandsfähigkeit des Netzwerks gegenüber Angriffen
Bewertung der Wirksamkeit bestehender Sicherheitsmaßnahmen
Sicherheitsaudits haben zum Ziel:
Überprüfung der Anwendung von Sicherheitsrichtlinien
Bewertung der Konformität mit Normen und Vorschriften
Identifizierung von Verbesserungsmöglichkeiten
Die Überwachung des Informationssystems basiert auf:
Analyse des Netzwerkverkehrs
Auswertung von Protokollen (Logs)
Erkennung ungewöhnlicher Aktivitäten