Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

BSI-Grundschutz - welche Maßnahmen ergreift ihr bezüglich der Erkennung von Passwortkompromittierung

Mitglied: DerWoWusste

DerWoWusste (Level 5) - Jetzt verbinden

14.02.2020, aktualisiert 11:54 Uhr, 691 Aufrufe, 15 Kommentare, 1 Danke

Moin Kollegen.

Disclaimer: das soll kein Freitagsschnack werden. Ich würde gerne Antworten von Admins bekommen, die speziell verantwortlich für die Umsetzung des IT-Grundschutzes in Ihrer Firma sind, und Verpflichtendes auch konsequent umsetzen. Bitte nur als Verantwortlicher teilnehmen.

https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/ ...
besagt im Abschnitt ORP.4.A23 Regelung für Passwort-verarbeitende Anwendungen und IT-Systeme [IT-Betrieb] (B)
Es MÜSSEN Maßnahmen ergriffen werden, um die Kompromittierung von Passwörtern zu erkennen

Ich kann mir allerhand Maßnahmen vorstellen, die aufzeichnen, wann Credentials an PCs eingegeben werden, wo der Nutzer nicht anmeldeberechtigt ist, oder gar zu nicht zugelassenen Anmeldezeiten, klar, aber was ist mit dem klassischen Fall von Shouldersurfing? Ich schau mir an, wie mein Büronachbar sein Kennwort eingibt, warte, bis der in einer Besprechung verschwindet, und entsperre seinen PC und handle eine Weile als er. Das kann bestenfalls eine Webcam erkennen.
Mitglied: FA-jka
14.02.2020 um 11:51 Uhr
Hallo,

die Benutzer könnten automatisiert eine Liste aller Anmeldungen erhalten verbunden mit der Bitte, diese zu prüfen

Wobei die Protokollierung natürlich datenschützerisch relevant ist. Dem könnte man mit Transparenz und einer reproduzierbaren Löschung entgegentreten.

Gruß,
Jörg
Bitte warten ..
Mitglied: brammer
14.02.2020 um 11:54 Uhr
Hallo,

für das Shouldersurfing werden bei uns Sichtschutzfilter eingesetzt die den Blickwinkel reduzieren.
Außerdem regelmässige Training und Belehrungen.

Nichtsdestotrotz habe ich die Woche ein PDF mit 6 Passwörtern, usernamen per Mail an einen Verteiler mit 11 Leuten bekommen....
Accounts sofort gesperrt.
Freigabe der Accounts erst nach Belehrung durch Datenschutzbeauftragten. Mit Androhung arbeitsrechtlicher Konsequenzen.

brammer
Bitte warten ..
Mitglied: Office365.Wolke
14.02.2020 um 11:59 Uhr
Seid ihr On-Prem unterwegs?
Wir nutzen Cloud App Security im Zusammenspiel mit der Security & Compliance von Microsoft aus der Cloud.
Dort sind entsprechende Policies hinterlegt, welche in harten Fällen (Mehr als 5 falsche Anmeldeversuche in 10 Min) protokolliert (IP, Location, Client OS, ggf. Browser + Version)

Darüberhinaus kann jede Anmeldung manuell eingesehen werden mit den selben Infos wie oben.
Wir steuern allerdings schon viel aktiv gegen eine unberechtige Anmeldung, denn protokollierung ist zwar schön und gut, aber man möchte in der Regel ja den unberechtigen Zugriff gar nicht erst zulassen.

Dafür nutzen wir den Conditional Access aus Intune heraus. Dieser sagt z.B. das die Anmeldung nur auf einem Gerät stattfinden darf, welches von uns verwaltet wird und als compliant markiert ist.
Außerdem ist die Anmeldung aus allen Standorten, welche für uns unüblich sind blockiert (z.B. China, Thailand, Russland etc)

So setzen wir das bei uns um.
On-Premise ist das mit Sicherheit wesentlich schwieriger umzusetzen, da die unberechtigte Anmeldung ja auch unter Kollegen, somit also im eigenen Netz stattfindet, was ja grundsätzlich erst mal nicht verdächtig ist.
Dagegen hilft effektiv nur MFA.
Bitte warten ..
Mitglied: certifiedit.net
14.02.2020, aktualisiert um 12:06 Uhr
Moin,

es gibt keine technische Lösung für ein organisatorisches Problem. Hier muss der Benutzer geschult, geschult und nochmals geschult werden.

Eine Webcam ist da Kontraproduktiv. Der Benutzer muss, eben wie in der Bank, schauen, dass die Eingabe nicht einsehbar ist.Ebenfalls muss er dazu "genötigt" werden, dass Vorfälle (nicht nur diese) ad hoc und ohne Zeitverzug gemeldet werden.

Viele Grüße,

Christian
certifiedit.net
Bitte warten ..
Mitglied: Looser27
14.02.2020 um 12:05 Uhr
Im Weiteren heißt es aber auch:

Ist dies nicht möglich, so SOLLTE geprüft werden, ob die Nachteile eines zeitgesteuerten Passwortwechsels in Kauf genommen werden können und Passwörter in gewissen Abständen gewechselt werden.

Man beachte hier immer das explizite "SOLLTE". Das heißt im Umkehrschluß aber auch, dass wenn es betriebliche Gründe für eine Nicht-Beachtung gibt, diese nicht zum standrechtlichen Erschiessen führt.

Von daher hilft bei allem eigentlich immer nur: Userschulungen! Und das solange, bis auch der letzte verstanden hat, warum das so ist.
Bitte warten ..
Mitglied: lcer00
14.02.2020 um 12:08 Uhr
Hallo,
Zitat von Office365.Wolke:

Seid ihr On-Prem unterwegs?
Wir nutzen Cloud App Security im Zusammenspiel mit der Security & Compliance von Microsoft aus der Cloud.
Dort sind entsprechende Policies hinterlegt, welche in harten Fällen (Mehr als 5 falsche Anmeldeversuche in 10 Min) protokolliert (IP, Location, Client OS, ggf. Browser + Version)

so wie ich das verstehe, geht es um das erkennen einer Passwortkompromitierung, nicht um das Verhindern.

Ist ein Passwort kompromittiert, ist der böse Loginversuch ja aus Sicht des Systems zulässig, der Benutzer wird authentifiziert. Im Grunde kann man das nicht erkennen.

Also muss man eine 2FA verwenden.

Grüße

lcer
Bitte warten ..
Mitglied: Kraemer
14.02.2020 um 12:16 Uhr
Moin DWW,


Zitat von DerWoWusste:
besagt im Abschnitt ORP.4.A23 Regelung für Passwort-verarbeitende Anwendungen und IT-Systeme [IT-Betrieb] (B)
Es MÜSSEN Maßnahmen ergriffen werden, um die Kompromittierung von Passwörtern zu erkennen

Ich kann mir allerhand Maßnahmen vorstellen, die aufzeichnen, wann Credentials an PCs eingegeben werden, wo der Nutzer nicht anmeldeberechtigt ist, oder gar zu nicht zugelassenen Anmeldezeiten,
genau das sollte damit gemeint sein

klar, aber was ist mit dem klassischen Fall von Shouldersurfing? Ich schau mir an, wie mein Büronachbar sein Kennwort eingibt, warte, bis der in einer Besprechung verschwindet, und entsperre seinen PC und handle eine Weile als er. Das kann bestenfalls eine Webcam erkennen.
das wird unter ORP.4.A8 Regelung des Passwortgebrauchs geregelt.

Gruß
Bitte warten ..
Mitglied: clSchak
14.02.2020, aktualisiert um 12:21 Uhr
Hallo @DerWoWusste

wir monitoren das Anmeldeverhalten der User via Elasticsearch & Kibana und entsprechenden Filtern. Darüber erhalten wir dann Infos wenn sich Benutzer z.B. an zwei unterschiedlichen Standorten anmelden oder die Anmeldung von unterschiedlichen DC's kommt.

Wenn z.B. eine Benutzeranmeldung "reguläre" nur über DC's aus Standort A kommt und plötzlich von Standort B erscheint das im Dashboard bei Kibana. Das gleiche wenn Anmeldeversuche von unterschiedlichen Geräten erscheinen.

Es gibt weitere Ansichten, aber das hat ein Kollege eingerichtet, ist wohl recht aufwendig solche Filter und Ansichten zu erstellen. Da wir aktuell die "freie" Edition nutzen sind da auch keine Melder geschaltet, so dass z.B. ein Benutzer direkt informiert wird.

bild1 - Klicke auf das Bild, um es zu vergrößern

Ist jetzt z.B. ein Ansicht der fehlgeschlagenen Anmeldung, der lange Balken ist von einem Benutzer der sein PW vor kurzen geändert hat aber irgendein Tool, hier wird Cisco CUAC sein, das dort noch nicht geändert hat (das fragt im Hintergrund an der Telefonanlage den IMP Status permanent ab).

Organisatorisch muss man die Leute erziehen und es muss bei verstößen auch Konsequenzen geben, ansonsten bringt keine Anweisung etwas. Wir haben das hier "spielerisch" gelöst und den Kolleginnen und Kollegen Möglichkeiten aufgezeigt was passiert wenn man sein Logindaten weitergibt oder den Rechner nicht sperrt: von Rundmails mit Einladungen zum Mittagessen bis hin zu sinnlosen Bestellungen in Webshops, das hat mehr geholfen wie jede Schulung .

Gruß
@clSchak
Bitte warten ..
Mitglied: aqui
14.02.2020, aktualisiert um 14:09 Uhr
Oder ganz auf Passwörter verzichten und sich so dieser Problematik ganz entledigen:
https://www.heise.de/select/ct/2019/18/1566917336782380
Bitte warten ..
Mitglied: DerWoWusste
14.02.2020, aktualisiert um 14:24 Uhr
Danke soweit für die Anregungen, allerseits.

Ich gehe mal auf ein paar davon ein:
die Benutzer könnten automatisiert eine Liste aller Anmeldungen erhalten verbunden mit der Bitte, diese zu prüfen
Das halte ich für utopisch. Grob geschätzt sind das an einem 8-Stundentag bei uns an diversen Systemen pro Nutzer 50-100 Anmeldungen, viele davon für den Nutzer nicht einmal nachvollziehbar (Mailserver, Updateserver, Sharepoint,... alles SSO)
Seid ihr On-Prem unterwegs?
Ja, ausschließlich.
Dagegen hilft effektiv nur MFA
Oder ganz auf Passwörter verzichten
Ja, aber nicht alle Anwendungen, die wir derzeit nutzen, unterstützen das. Aber gut, wir wollen da hin, soweit stimme ich zu.
Der Benutzer muss, eben wie in der Bank, schauen, dass die Eingabe nicht einsehbar ist.
Du kannst bei unverschlossenen Büros sehr schnell kleine Kameras anbringen und wieder entfernen, "schauen" hilft da nicht wirklich und das Büro immer abzuschließen ist noch nicht angedacht.
Im Weiteren heißt es aber auch:
Ist dies nicht möglich, so SOLLTE geprüft werden, ob die Nachteile eines zeitgesteuerten Passwortwechsels in Kauf genommen werden können und Passwörter in gewissen Abständen gewechselt werden.
Richtig. Und beim jährlichen Wechsel würde ich auch gerne bleiben wollen.
wir monitoren das Anmeldeverhalten der User via Elasticsearch & Kibana und entsprechenden Filtern. Darüber erhalten wir dann Infos wenn sich Benutzer z.B. an zwei unterschiedlichen Standorten anmelden oder die Anmeldung von unterschiedlichen DC's kommt
Ja, auf der Ebene kann man viel tun, aber ob da wirklich was Aussagekräftiges bei rumkommt? Wir haben nur einen Standort, aber mehrere DCs - es ist völlig normal, dass Anmeldungen binnen eines Tages zwischen den DCs wechseln.
Wir haben das hier "spielerisch" gelöst und den Kolleginnen und Kollegen Möglichkeiten aufgezeigt was passiert wenn man sein Logindaten weitergibt oder den Rechner nicht sperrt: von Rundmails mit Einladungen zum Mittagessen bis hin zu sinnlosen Bestellungen in Webshops
Das ist schön, aber Du wirst damit als Verantwortlicher im Fall der Fälle "weisen Sie nach, dass Sie den Pflichten, die sich aus dem Grundschutz ergeben, entsprochen haben" nicht unbedingt gut da stehen.
Bitte warten ..
Mitglied: clSchak
14.02.2020 um 14:34 Uhr
Zitat von DerWoWusste:

Danke soweit für die Anregungen, allerseits.

Wir haben das hier "spielerisch" gelöst und den Kolleginnen und Kollegen Möglichkeiten aufgezeigt was passiert wenn man sein Logindaten weitergibt oder den Rechner nicht sperrt: von Rundmails mit Einladungen zum Mittagessen bis hin zu sinnlosen Bestellungen in Webshops
Das ist schön, aber Du wirst damit als Verantwortlicher im Fall der Fälle "weisen Sie nach, dass Sie den Pflichten, die sich aus dem Grundschutz ergeben, entsprochen haben" nicht unbedingt gut da stehen.


ja ist richtig, das einzige was hilft: Schulung abhalten und quittieren lassen das der MA teilgenommen, evtl. kleiner Fragebogen als "Test", alles andere ist Sinnfrei und hat keinen Nachweis, wenn du keine Unterschrift des MA hast ist alles wertlos, es geht aber darum die Leute von sich aus dazu zu bringen das keine Vorfälle gibt oder diese erst entstehen. Denn das bekommst mit "Schulung - Test - Unterschrift" nicht hin, das ist nur Augenwischerei.
Bitte warten ..
Mitglied: Kraemer
14.02.2020 um 15:01 Uhr
Zitat von DerWoWusste:
Das ist schön, aber Du wirst damit als Verantwortlicher im Fall der Fälle "weisen Sie nach, dass Sie den Pflichten, die sich aus dem Grundschutz ergeben, entsprochen haben" nicht unbedingt gut da stehen.
ich verweise noch einmal auf ORP.4.A8 - da steht alles zum "Shouldersurfing". Entsprechend schulen und fertig ist der Lack
Bitte warten ..
Mitglied: DerWoWusste
14.02.2020, aktualisiert um 15:14 Uhr
ich verweise noch einmal auf ORP.4.A8 - da steht alles zum "Shouldersurfing". Entsprechend schulen und fertig ist der Lack
Eine solche Schulung taugt nicht dazu, nachzuweisen, dass die Kompromittierung von Passwörtern erkannt wird. Darum geht es. Es geht um das "Danach", nicht das "Davor".
Bitte warten ..
Mitglied: Kraemer
14.02.2020 um 15:34 Uhr
Zitat von DerWoWusste:

ich verweise noch einmal auf ORP.4.A8 - da steht alles zum "Shouldersurfing". Entsprechend schulen und fertig ist der Lack
Eine solche Schulung taugt nicht dazu, nachzuweisen, dass die Kompromittierung von Passwörtern erkannt wird.
Der vermischt hier zwei Themen!

Shouldersurfing verhindern: Schulung - siehe ORP.4.A8
Kompromittierung erkennen = Software, Counter etc (wo das möglich ist!) = ORP.4.A23

Beides lässt sich leicht dokumentieren. Und diese Dokumentation ist dein Nachweis
Bitte warten ..
Mitglied: STITDK
15.02.2020 um 16:44 Uhr
Servus ,

Anmeldung auf Systemen auf dennen der Nutzer nichts zu suchen hat.

Alle Anmeldungen die nicht von Autorisierten Benutzer stammen erzeugen sofort eine SMS Benachrichtigung, das Konto wird umgehen deaktiviert.
Alle Anmeldung mit Berechtigten Benutzer aber Falschen Kennwort erzeugen bei der 3 Fehlerhaften Anmeldung eine Deaktivierung mit SMS Benachrichtigung.

Der Rest mit "Erkennung" wenn keine anderen Aktionen mit dem Benutzer passieren, ist für ins tatsächlich ebenfalls eine schwierige Aufgabe.


Computer: Da ist es tatsächlich schwieriger zu Erkennen wer am entsprechenden Computer sitzt. Hier arbeiten wir aktuell an einer Lösung die den Zugriff nur erlaubt wenn der User ein "Dongle" auflegt. Ähnlich von Kassensystemen.

die Idee der Abgleich per Zeiterfasssung ist leider gestorben.

Ansonsten hilft nur eine Schulung nach der anderen.

Grüßle STITDK
Bitte warten ..
Ähnliche Inhalte
Sicherheit

IT-Grundschutz: BSI schließt Modernisierung ab

Information von BassFishFoxSicherheit2 Kommentare

Na dann mal los. Die überarbeitete Version des IT-Grundschutz ist da. Sie richtet sich stärker auch an kleine und ...

Datenschutz

BSI IT Grundschutz Windows 10 Hardening

Frage von it-fraggleDatenschutz3 Kommentare

Hallo, habe gesucht wie ein Blöder, aber ich finde einfach nicht mehr vom BSI IT Grundschutz das Windows 10 ...

Sicherheits-Tools

Einführung eines ISMS nach ISO 27001 bzw. BSI-Grundschutz

gelöst Frage von honeybeeSicherheits-Tools6 Kommentare

Hallo, hat jemand Erfahrungen mit o. g. Thema gemacht? Wenn ja, wie läuft das genau ab? Habe keinerlei Erfahrungen ...

Sicherheits-Tools

Buch: Checklisten Handbuch IT-Grundschutz

gelöst Frage von honeybeeSicherheits-Tools1 Kommentar

Hallo, kann mir jemand sagen, welche Prüffragen im Buch "Checklisten Handbuch IT-Grundschutz" vom BSI genau enthalten sind? Sind es ...

Neue Wissensbeiträge
Windows Update
MS SQL Server Updates
Information von sabines vor 9 StundenWindows Update

Für 2012, 2014 und 2016 sind seit Dienstag wichtige Sicherheitsupdates verfügar, die eine remote, leicht auszunutzende Lücke im Reporting ...

Microsoft Office

Microsoft warnt: Office 365 am 29. Februar leider nicht nutzbar

Information von Lochkartenstanzer vor 22 StundenMicrosoft Office8 Kommentare

Moin, Wie die Überschrift schon sagt, gibt es offensichtlicham 29. februar ein Problem: Microsoft warnt: Office 365 am 29. ...

Netzwerkmanagement
Siemens Switche initial konfigurieren
Tipp von brammer vor 1 TagNetzwerkmanagement2 Kommentare

Hallo, Bisher gab es für Siemens Switche die Möglichkeit die initiale Konfiguration über den Simatic Manager oder das Primary ...

Virtualisierung

VEEAM Instant VM Recovery Datenverlust möglich

Information von sabines vor 2 TagenVirtualisierung

Wer instant VM Recovery unter Veeam nutzt, sollte seine Installation überprüfen. In manchen Fällen könnte es zu Datenverlust kommen, ...

Heiß diskutierte Inhalte
Windows Server
Active Directory: Fehler beim Re-Promoten eines Servers
Frage von jordelWindows Server38 Kommentare

Hallo zusammen, Wir hatten einige Replikationsprobleme, weshalb ich gestern Nacht einen Domain Controller erst demoten und danach wieder promoten ...

PHP
Dynamisches Array erstellen in PHP
Frage von Xaero1982PHP21 Kommentare

Moin Zusammen, ich bräuchte mal einen Geistesblitz. Ich habe ganz viele Daten in einer MongoDb. Ich möchte diese Daten ...

Microsoft Office
Welches MS Office Lizensmodell für 7 Arbeitsplätze in kleinen Unternehmen
Frage von harbyadmMicrosoft Office20 Kommentare

Hallo, Ich frage Euch welches Lizensmodell das günstigste ist.? ich benötige für z.Zeit 7 ARBEITSPLÄTZE , alles Windows 8-10, ...

Windows 8
Die digitale Signatur dieser Datei kann nicht überprüft werden
Frage von LochkartenstanzerWindows 819 Kommentare

Moin, Seit gestern ärgere ich mich mit einem verkorksten Windows 8 herum. Bei vielen EXE-Dateien starten will, kommt die ...