15
BSI-Grundschutz - welche Maßnahmen ergreift ihr bezüglich der Erkennung von Passwortkompromittierung
Moin Kollegen.
Disclaimer: das soll kein Freitagsschnack werden. Ich würde gerne Antworten von Admins bekommen, die speziell verantwortlich für die Umsetzung des IT-Grundschutzes in Ihrer Firma sind, und Verpflichtendes auch konsequent umsetzen. Bitte nur als Verantwortlicher teilnehmen.
https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/ ...
besagt im Abschnitt ORP.4.A23 Regelung für Passwort-verarbeitende Anwendungen und IT-Systeme [IT-Betrieb] (B)
Ich kann mir allerhand Maßnahmen vorstellen, die aufzeichnen, wann Credentials an PCs eingegeben werden, wo der Nutzer nicht anmeldeberechtigt ist, oder gar zu nicht zugelassenen Anmeldezeiten, klar, aber was ist mit dem klassischen Fall von Shouldersurfing? Ich schau mir an, wie mein Büronachbar sein Kennwort eingibt, warte, bis der in einer Besprechung verschwindet, und entsperre seinen PC und handle eine Weile als er. Das kann bestenfalls eine Webcam erkennen.
Disclaimer: das soll kein Freitagsschnack werden. Ich würde gerne Antworten von Admins bekommen, die speziell verantwortlich für die Umsetzung des IT-Grundschutzes in Ihrer Firma sind, und Verpflichtendes auch konsequent umsetzen. Bitte nur als Verantwortlicher teilnehmen.
https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/ ...
besagt im Abschnitt ORP.4.A23 Regelung für Passwort-verarbeitende Anwendungen und IT-Systeme [IT-Betrieb] (B)
Es MÜSSEN Maßnahmen ergriffen werden, um die Kompromittierung von Passwörtern zu erkennen
Ich kann mir allerhand Maßnahmen vorstellen, die aufzeichnen, wann Credentials an PCs eingegeben werden, wo der Nutzer nicht anmeldeberechtigt ist, oder gar zu nicht zugelassenen Anmeldezeiten, klar, aber was ist mit dem klassischen Fall von Shouldersurfing? Ich schau mir an, wie mein Büronachbar sein Kennwort eingibt, warte, bis der in einer Besprechung verschwindet, und entsperre seinen PC und handle eine Weile als er. Das kann bestenfalls eine Webcam erkennen.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 547269
Url: https://administrator.de/contentid/547269
Printed on: May 5, 2024 at 06:05 o'clock
15 Comments
Latest comment
Hallo,
die Benutzer könnten automatisiert eine Liste aller Anmeldungen erhalten verbunden mit der Bitte, diese zu prüfen
Wobei die Protokollierung natürlich datenschützerisch relevant ist. Dem könnte man mit Transparenz und einer reproduzierbaren Löschung entgegentreten.
Gruß,
Jörg
die Benutzer könnten automatisiert eine Liste aller Anmeldungen erhalten verbunden mit der Bitte, diese zu prüfen
Wobei die Protokollierung natürlich datenschützerisch relevant ist. Dem könnte man mit Transparenz und einer reproduzierbaren Löschung entgegentreten.
Gruß,
Jörg
Hallo,
für das Shouldersurfing werden bei uns Sichtschutzfilter eingesetzt die den Blickwinkel reduzieren.
Außerdem regelmässige Training und Belehrungen.
Nichtsdestotrotz habe ich die Woche ein PDF mit 6 Passwörtern, usernamen per Mail an einen Verteiler mit 11 Leuten bekommen....
Accounts sofort gesperrt.
Freigabe der Accounts erst nach Belehrung durch Datenschutzbeauftragten. Mit Androhung arbeitsrechtlicher Konsequenzen.
brammer
für das Shouldersurfing werden bei uns Sichtschutzfilter eingesetzt die den Blickwinkel reduzieren.
Außerdem regelmässige Training und Belehrungen.
Nichtsdestotrotz habe ich die Woche ein PDF mit 6 Passwörtern, usernamen per Mail an einen Verteiler mit 11 Leuten bekommen....
Accounts sofort gesperrt.
Freigabe der Accounts erst nach Belehrung durch Datenschutzbeauftragten. Mit Androhung arbeitsrechtlicher Konsequenzen.
brammer
Seid ihr On-Prem unterwegs?
Wir nutzen Cloud App Security im Zusammenspiel mit der Security & Compliance von Microsoft aus der Cloud.
Dort sind entsprechende Policies hinterlegt, welche in harten Fällen (Mehr als 5 falsche Anmeldeversuche in 10 Min) protokolliert (IP, Location, Client OS, ggf. Browser + Version)
Darüberhinaus kann jede Anmeldung manuell eingesehen werden mit den selben Infos wie oben.
Wir steuern allerdings schon viel aktiv gegen eine unberechtige Anmeldung, denn protokollierung ist zwar schön und gut, aber man möchte in der Regel ja den unberechtigen Zugriff gar nicht erst zulassen.
Dafür nutzen wir den Conditional Access aus Intune heraus. Dieser sagt z.B. das die Anmeldung nur auf einem Gerät stattfinden darf, welches von uns verwaltet wird und als compliant markiert ist.
Außerdem ist die Anmeldung aus allen Standorten, welche für uns unüblich sind blockiert (z.B. China, Thailand, Russland etc)
So setzen wir das bei uns um.
On-Premise ist das mit Sicherheit wesentlich schwieriger umzusetzen, da die unberechtigte Anmeldung ja auch unter Kollegen, somit also im eigenen Netz stattfindet, was ja grundsätzlich erst mal nicht verdächtig ist.
Dagegen hilft effektiv nur MFA.
Wir nutzen Cloud App Security im Zusammenspiel mit der Security & Compliance von Microsoft aus der Cloud.
Dort sind entsprechende Policies hinterlegt, welche in harten Fällen (Mehr als 5 falsche Anmeldeversuche in 10 Min) protokolliert (IP, Location, Client OS, ggf. Browser + Version)
Darüberhinaus kann jede Anmeldung manuell eingesehen werden mit den selben Infos wie oben.
Wir steuern allerdings schon viel aktiv gegen eine unberechtige Anmeldung, denn protokollierung ist zwar schön und gut, aber man möchte in der Regel ja den unberechtigen Zugriff gar nicht erst zulassen.
Dafür nutzen wir den Conditional Access aus Intune heraus. Dieser sagt z.B. das die Anmeldung nur auf einem Gerät stattfinden darf, welches von uns verwaltet wird und als compliant markiert ist.
Außerdem ist die Anmeldung aus allen Standorten, welche für uns unüblich sind blockiert (z.B. China, Thailand, Russland etc)
So setzen wir das bei uns um.
On-Premise ist das mit Sicherheit wesentlich schwieriger umzusetzen, da die unberechtigte Anmeldung ja auch unter Kollegen, somit also im eigenen Netz stattfindet, was ja grundsätzlich erst mal nicht verdächtig ist.
Dagegen hilft effektiv nur MFA.
Moin,
es gibt keine technische Lösung für ein organisatorisches Problem. Hier muss der Benutzer geschult, geschult und nochmals geschult werden.
Eine Webcam ist da Kontraproduktiv. Der Benutzer muss, eben wie in der Bank, schauen, dass die Eingabe nicht einsehbar ist.Ebenfalls muss er dazu "genötigt" werden, dass Vorfälle (nicht nur diese) ad hoc und ohne Zeitverzug gemeldet werden.
Viele Grüße,
Christian
certifiedit.net
es gibt keine technische Lösung für ein organisatorisches Problem. Hier muss der Benutzer geschult, geschult und nochmals geschult werden.
Eine Webcam ist da Kontraproduktiv. Der Benutzer muss, eben wie in der Bank, schauen, dass die Eingabe nicht einsehbar ist.Ebenfalls muss er dazu "genötigt" werden, dass Vorfälle (nicht nur diese) ad hoc und ohne Zeitverzug gemeldet werden.
Viele Grüße,
Christian
certifiedit.net
Im Weiteren heißt es aber auch:
Man beachte hier immer das explizite "SOLLTE". Das heißt im Umkehrschluß aber auch, dass wenn es betriebliche Gründe für eine Nicht-Beachtung gibt, diese nicht zum standrechtlichen Erschiessen führt.
Von daher hilft bei allem eigentlich immer nur: Userschulungen! Und das solange, bis auch der letzte verstanden hat, warum das so ist.
Ist dies nicht möglich, so SOLLTE geprüft werden, ob die Nachteile eines zeitgesteuerten Passwortwechsels in Kauf genommen werden können und Passwörter in gewissen Abständen gewechselt werden.
Man beachte hier immer das explizite "SOLLTE". Das heißt im Umkehrschluß aber auch, dass wenn es betriebliche Gründe für eine Nicht-Beachtung gibt, diese nicht zum standrechtlichen Erschiessen führt.
Von daher hilft bei allem eigentlich immer nur: Userschulungen! Und das solange, bis auch der letzte verstanden hat, warum das so ist.
Hallo,
Ist ein Passwort kompromittiert, ist der böse Loginversuch ja aus Sicht des Systems zulässig, der Benutzer wird authentifiziert. Im Grunde kann man das nicht erkennen.
Also muss man eine 2FA verwenden.
Grüße
lcer
Zitat von @Cloudrakete:
Seid ihr On-Prem unterwegs?
Wir nutzen Cloud App Security im Zusammenspiel mit der Security & Compliance von Microsoft aus der Cloud.
Dort sind entsprechende Policies hinterlegt, welche in harten Fällen (Mehr als 5 falsche Anmeldeversuche in 10 Min) protokolliert (IP, Location, Client OS, ggf. Browser + Version)
so wie ich das verstehe, geht es um das erkennen einer Passwortkompromitierung, nicht um das Verhindern.Seid ihr On-Prem unterwegs?
Wir nutzen Cloud App Security im Zusammenspiel mit der Security & Compliance von Microsoft aus der Cloud.
Dort sind entsprechende Policies hinterlegt, welche in harten Fällen (Mehr als 5 falsche Anmeldeversuche in 10 Min) protokolliert (IP, Location, Client OS, ggf. Browser + Version)
Ist ein Passwort kompromittiert, ist der böse Loginversuch ja aus Sicht des Systems zulässig, der Benutzer wird authentifiziert. Im Grunde kann man das nicht erkennen.
Also muss man eine 2FA verwenden.
Grüße
lcer
Moin DWW,
Gruß
Zitat von @DerWoWusste:
besagt im Abschnitt ORP.4.A23 Regelung für Passwort-verarbeitende Anwendungen und IT-Systeme [IT-Betrieb] (B)
Ich kann mir allerhand Maßnahmen vorstellen, die aufzeichnen, wann Credentials an PCs eingegeben werden, wo der Nutzer nicht anmeldeberechtigt ist, oder gar zu nicht zugelassenen Anmeldezeiten,
genau das sollte damit gemeint seinbesagt im Abschnitt ORP.4.A23 Regelung für Passwort-verarbeitende Anwendungen und IT-Systeme [IT-Betrieb] (B)
Es MÜSSEN Maßnahmen ergriffen werden, um die Kompromittierung von Passwörtern zu erkennen
Ich kann mir allerhand Maßnahmen vorstellen, die aufzeichnen, wann Credentials an PCs eingegeben werden, wo der Nutzer nicht anmeldeberechtigt ist, oder gar zu nicht zugelassenen Anmeldezeiten,
klar, aber was ist mit dem klassischen Fall von Shouldersurfing? Ich schau mir an, wie mein Büronachbar sein Kennwort eingibt, warte, bis der in einer Besprechung verschwindet, und entsperre seinen PC und handle eine Weile als er. Das kann bestenfalls eine Webcam erkennen.
das wird unter ORP.4.A8 Regelung des Passwortgebrauchs geregelt.Gruß
Hallo @DerWoWusste
wir monitoren das Anmeldeverhalten der User via Elasticsearch & Kibana und entsprechenden Filtern. Darüber erhalten wir dann Infos wenn sich Benutzer z.B. an zwei unterschiedlichen Standorten anmelden oder die Anmeldung von unterschiedlichen DC's kommt.
Wenn z.B. eine Benutzeranmeldung "reguläre" nur über DC's aus Standort A kommt und plötzlich von Standort B erscheint das im Dashboard bei Kibana. Das gleiche wenn Anmeldeversuche von unterschiedlichen Geräten erscheinen.
Es gibt weitere Ansichten, aber das hat ein Kollege eingerichtet, ist wohl recht aufwendig solche Filter und Ansichten zu erstellen. Da wir aktuell die "freie" Edition nutzen sind da auch keine Melder geschaltet, so dass z.B. ein Benutzer direkt informiert wird.
Ist jetzt z.B. ein Ansicht der fehlgeschlagenen Anmeldung, der lange Balken ist von einem Benutzer der sein PW vor kurzen geändert hat aber irgendein Tool, hier wird Cisco CUAC sein, das dort noch nicht geändert hat (das fragt im Hintergrund an der Telefonanlage den IMP Status permanent ab).
Organisatorisch muss man die Leute erziehen und es muss bei verstößen auch Konsequenzen geben, ansonsten bringt keine Anweisung etwas. Wir haben das hier "spielerisch" gelöst und den Kolleginnen und Kollegen Möglichkeiten aufgezeigt was passiert wenn man sein Logindaten weitergibt oder den Rechner nicht sperrt: von Rundmails mit Einladungen zum Mittagessen bis hin zu sinnlosen Bestellungen in Webshops, das hat mehr geholfen wie jede Schulung
.
Gruß
@clSchak
wir monitoren das Anmeldeverhalten der User via Elasticsearch & Kibana und entsprechenden Filtern. Darüber erhalten wir dann Infos wenn sich Benutzer z.B. an zwei unterschiedlichen Standorten anmelden oder die Anmeldung von unterschiedlichen DC's kommt.
Wenn z.B. eine Benutzeranmeldung "reguläre" nur über DC's aus Standort A kommt und plötzlich von Standort B erscheint das im Dashboard bei Kibana. Das gleiche wenn Anmeldeversuche von unterschiedlichen Geräten erscheinen.
Es gibt weitere Ansichten, aber das hat ein Kollege eingerichtet, ist wohl recht aufwendig solche Filter und Ansichten zu erstellen. Da wir aktuell die "freie" Edition nutzen sind da auch keine Melder geschaltet, so dass z.B. ein Benutzer direkt informiert wird.
Ist jetzt z.B. ein Ansicht der fehlgeschlagenen Anmeldung, der lange Balken ist von einem Benutzer der sein PW vor kurzen geändert hat aber irgendein Tool, hier wird Cisco CUAC sein, das dort noch nicht geändert hat (das fragt im Hintergrund an der Telefonanlage den IMP Status permanent ab).
Organisatorisch muss man die Leute erziehen und es muss bei verstößen auch Konsequenzen geben, ansonsten bringt keine Anweisung etwas. Wir haben das hier "spielerisch" gelöst und den Kolleginnen und Kollegen Möglichkeiten aufgezeigt was passiert wenn man sein Logindaten weitergibt oder den Rechner nicht sperrt: von Rundmails mit Einladungen zum Mittagessen bis hin zu sinnlosen Bestellungen in Webshops, das hat mehr geholfen wie jede Schulung
.Gruß
@clSchak
Oder ganz auf Passwörter verzichten und sich so dieser Problematik ganz entledigen:
https://www.heise.de/select/ct/2019/18/1566917336782380
https://www.heise.de/select/ct/2019/18/1566917336782380
Danke soweit für die Anregungen, allerseits.
Ich gehe mal auf ein paar davon ein:
Ich gehe mal auf ein paar davon ein:
die Benutzer könnten automatisiert eine Liste aller Anmeldungen erhalten verbunden mit der Bitte, diese zu prüfen
Das halte ich für utopisch. Grob geschätzt sind das an einem 8-Stundentag bei uns an diversen Systemen pro Nutzer 50-100 Anmeldungen, viele davon für den Nutzer nicht einmal nachvollziehbar (Mailserver, Updateserver, Sharepoint,... alles SSO)Seid ihr On-Prem unterwegs?
Ja, ausschließlich.Dagegen hilft effektiv nur MFA
Oder ganz auf Passwörter verzichten
Ja, aber nicht alle Anwendungen, die wir derzeit nutzen, unterstützen das. Aber gut, wir wollen da hin, soweit stimme ich zu.Oder ganz auf Passwörter verzichten
Der Benutzer muss, eben wie in der Bank, schauen, dass die Eingabe nicht einsehbar ist.
Du kannst bei unverschlossenen Büros sehr schnell kleine Kameras anbringen und wieder entfernen, "schauen" hilft da nicht wirklich und das Büro immer abzuschließen ist noch nicht angedacht.Im Weiteren heißt es aber auch:
Richtig. Und beim jährlichen Wechsel würde ich auch gerne bleiben wollen.Ist dies nicht möglich, so SOLLTE geprüft werden, ob die Nachteile eines zeitgesteuerten Passwortwechsels in Kauf genommen werden können und Passwörter in gewissen Abständen gewechselt werden.
wir monitoren das Anmeldeverhalten der User via Elasticsearch & Kibana und entsprechenden Filtern. Darüber erhalten wir dann Infos wenn sich Benutzer z.B. an zwei unterschiedlichen Standorten anmelden oder die Anmeldung von unterschiedlichen DC's kommt
Ja, auf der Ebene kann man viel tun, aber ob da wirklich was Aussagekräftiges bei rumkommt? Wir haben nur einen Standort, aber mehrere DCs - es ist völlig normal, dass Anmeldungen binnen eines Tages zwischen den DCs wechseln.Wir haben das hier "spielerisch" gelöst und den Kolleginnen und Kollegen Möglichkeiten aufgezeigt was passiert wenn man sein Logindaten weitergibt oder den Rechner nicht sperrt: von Rundmails mit Einladungen zum Mittagessen bis hin zu sinnlosen Bestellungen in Webshops
Das ist schön, aber Du wirst damit als Verantwortlicher im Fall der Fälle "weisen Sie nach, dass Sie den Pflichten, die sich aus dem Grundschutz ergeben, entsprochen haben" nicht unbedingt gut da stehen.Wir haben das hier "spielerisch" gelöst und den Kolleginnen und Kollegen Möglichkeiten aufgezeigt was passiert wenn man sein Logindaten weitergibt oder den Rechner nicht sperrt: von Rundmails mit Einladungen zum Mittagessen bis hin zu sinnlosen Bestellungen in Webshops
Das ist schön, aber Du wirst damit als Verantwortlicher im Fall der Fälle "weisen Sie nach, dass Sie den Pflichten, die sich aus dem Grundschutz ergeben, entsprochen haben" nicht unbedingt gut da stehen.ja ist richtig, das einzige was hilft: Schulung abhalten und quittieren lassen das der MA teilgenommen, evtl. kleiner Fragebogen als "Test", alles andere ist Sinnfrei und hat keinen Nachweis, wenn du keine Unterschrift des MA hast ist alles wertlos, es geht aber darum die Leute von sich aus dazu zu bringen das keine Vorfälle gibt oder diese erst entstehen. Denn das bekommst mit "Schulung - Test - Unterschrift" nicht hin, das ist nur Augenwischerei.
Zitat von @DerWoWusste:
Das ist schön, aber Du wirst damit als Verantwortlicher im Fall der Fälle "weisen Sie nach, dass Sie den Pflichten, die sich aus dem Grundschutz ergeben, entsprochen haben" nicht unbedingt gut da stehen.
ich verweise noch einmal auf ORP.4.A8 - da steht alles zum "Shouldersurfing". Entsprechend schulen und fertig ist der LackDas ist schön, aber Du wirst damit als Verantwortlicher im Fall der Fälle "weisen Sie nach, dass Sie den Pflichten, die sich aus dem Grundschutz ergeben, entsprochen haben" nicht unbedingt gut da stehen.
ich verweise noch einmal auf ORP.4.A8 - da steht alles zum "Shouldersurfing". Entsprechend schulen und fertig ist der Lack
Eine solche Schulung taugt nicht dazu, nachzuweisen, dass die Kompromittierung von Passwörtern erkannt wird. Darum geht es. Es geht um das "Danach", nicht das "Davor".Zitat von @DerWoWusste:
Der vermischt hier zwei Themen!ich verweise noch einmal auf ORP.4.A8 - da steht alles zum "Shouldersurfing". Entsprechend schulen und fertig ist der Lack
Eine solche Schulung taugt nicht dazu, nachzuweisen, dass die Kompromittierung von Passwörtern erkannt wird.Shouldersurfing verhindern: Schulung - siehe ORP.4.A8
Kompromittierung erkennen = Software, Counter etc (wo das möglich ist!) = ORP.4.A23
Beides lässt sich leicht dokumentieren. Und diese Dokumentation ist dein Nachweis
Servus ,
Anmeldung auf Systemen auf dennen der Nutzer nichts zu suchen hat.
Alle Anmeldungen die nicht von Autorisierten Benutzer stammen erzeugen sofort eine SMS Benachrichtigung, das Konto wird umgehen deaktiviert.
Alle Anmeldung mit Berechtigten Benutzer aber Falschen Kennwort erzeugen bei der 3 Fehlerhaften Anmeldung eine Deaktivierung mit SMS Benachrichtigung.
Der Rest mit "Erkennung" wenn keine anderen Aktionen mit dem Benutzer passieren, ist für ins tatsächlich ebenfalls eine schwierige Aufgabe.
Computer: Da ist es tatsächlich schwieriger zu Erkennen wer am entsprechenden Computer sitzt. Hier arbeiten wir aktuell an einer Lösung die den Zugriff nur erlaubt wenn der User ein "Dongle" auflegt. Ähnlich von Kassensystemen.
die Idee der Abgleich per Zeiterfasssung ist leider gestorben.
Ansonsten hilft nur eine Schulung nach der anderen.
Grüßle STITDK
Anmeldung auf Systemen auf dennen der Nutzer nichts zu suchen hat.
Alle Anmeldungen die nicht von Autorisierten Benutzer stammen erzeugen sofort eine SMS Benachrichtigung, das Konto wird umgehen deaktiviert.
Alle Anmeldung mit Berechtigten Benutzer aber Falschen Kennwort erzeugen bei der 3 Fehlerhaften Anmeldung eine Deaktivierung mit SMS Benachrichtigung.
Der Rest mit "Erkennung" wenn keine anderen Aktionen mit dem Benutzer passieren, ist für ins tatsächlich ebenfalls eine schwierige Aufgabe.
Computer: Da ist es tatsächlich schwieriger zu Erkennen wer am entsprechenden Computer sitzt. Hier arbeiten wir aktuell an einer Lösung die den Zugriff nur erlaubt wenn der User ein "Dongle" auflegt. Ähnlich von Kassensystemen.
die Idee der Abgleich per Zeiterfasssung ist leider gestorben.
Ansonsten hilft nur eine Schulung nach der anderen.
Grüßle STITDK
