derwowusste
Goto Top

BSI-Grundschutz - welche Maßnahmen ergreift ihr bezüglich der Erkennung von Passwortkompromittierung

Moin Kollegen.

Disclaimer: das soll kein Freitagsschnack werden. Ich würde gerne Antworten von Admins bekommen, die speziell verantwortlich für die Umsetzung des IT-Grundschutzes in Ihrer Firma sind, und Verpflichtendes auch konsequent umsetzen. Bitte nur als Verantwortlicher teilnehmen.

https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/ ...
besagt im Abschnitt ORP.4.A23 Regelung für Passwort-verarbeitende Anwendungen und IT-Systeme [IT-Betrieb] (B)
Es MÜSSEN Maßnahmen ergriffen werden, um die Kompromittierung von Passwörtern zu erkennen

Ich kann mir allerhand Maßnahmen vorstellen, die aufzeichnen, wann Credentials an PCs eingegeben werden, wo der Nutzer nicht anmeldeberechtigt ist, oder gar zu nicht zugelassenen Anmeldezeiten, klar, aber was ist mit dem klassischen Fall von Shouldersurfing? Ich schau mir an, wie mein Büronachbar sein Kennwort eingibt, warte, bis der in einer Besprechung verschwindet, und entsperre seinen PC und handle eine Weile als er. Das kann bestenfalls eine Webcam erkennen.

Content-ID: 547269

Url: https://administrator.de/contentid/547269

Ausgedruckt am: 25.11.2024 um 03:11 Uhr

117471
117471 14.02.2020 um 11:51:34 Uhr
Goto Top
Hallo,

die Benutzer könnten automatisiert eine Liste aller Anmeldungen erhalten verbunden mit der Bitte, diese zu prüfen face-smile

Wobei die Protokollierung natürlich datenschützerisch relevant ist. Dem könnte man mit Transparenz und einer reproduzierbaren Löschung entgegentreten.

Gruß,
Jörg
brammer
brammer 14.02.2020 um 11:54:26 Uhr
Goto Top
Hallo,

für das Shouldersurfing werden bei uns Sichtschutzfilter eingesetzt die den Blickwinkel reduzieren.
Außerdem regelmässige Training und Belehrungen.

Nichtsdestotrotz habe ich die Woche ein PDF mit 6 Passwörtern, usernamen per Mail an einen Verteiler mit 11 Leuten bekommen....
Accounts sofort gesperrt.
Freigabe der Accounts erst nach Belehrung durch Datenschutzbeauftragten. Mit Androhung arbeitsrechtlicher Konsequenzen.

brammer
Cloudrakete
Cloudrakete 14.02.2020 um 11:59:15 Uhr
Goto Top
Seid ihr On-Prem unterwegs?
Wir nutzen Cloud App Security im Zusammenspiel mit der Security & Compliance von Microsoft aus der Cloud.
Dort sind entsprechende Policies hinterlegt, welche in harten Fällen (Mehr als 5 falsche Anmeldeversuche in 10 Min) protokolliert (IP, Location, Client OS, ggf. Browser + Version)

Darüberhinaus kann jede Anmeldung manuell eingesehen werden mit den selben Infos wie oben.
Wir steuern allerdings schon viel aktiv gegen eine unberechtige Anmeldung, denn protokollierung ist zwar schön und gut, aber man möchte in der Regel ja den unberechtigen Zugriff gar nicht erst zulassen.

Dafür nutzen wir den Conditional Access aus Intune heraus. Dieser sagt z.B. das die Anmeldung nur auf einem Gerät stattfinden darf, welches von uns verwaltet wird und als compliant markiert ist.
Außerdem ist die Anmeldung aus allen Standorten, welche für uns unüblich sind blockiert (z.B. China, Thailand, Russland etc)

So setzen wir das bei uns um.
On-Premise ist das mit Sicherheit wesentlich schwieriger umzusetzen, da die unberechtigte Anmeldung ja auch unter Kollegen, somit also im eigenen Netz stattfindet, was ja grundsätzlich erst mal nicht verdächtig ist.
Dagegen hilft effektiv nur MFA.
certifiedit.net
certifiedit.net 14.02.2020 aktualisiert um 12:06:44 Uhr
Goto Top
Moin,

es gibt keine technische Lösung für ein organisatorisches Problem. Hier muss der Benutzer geschult, geschult und nochmals geschult werden.

Eine Webcam ist da Kontraproduktiv. Der Benutzer muss, eben wie in der Bank, schauen, dass die Eingabe nicht einsehbar ist.Ebenfalls muss er dazu "genötigt" werden, dass Vorfälle (nicht nur diese) ad hoc und ohne Zeitverzug gemeldet werden.

Viele Grüße,

Christian
certifiedit.net
Looser27
Looser27 14.02.2020 um 12:05:45 Uhr
Goto Top
Im Weiteren heißt es aber auch:

Ist dies nicht möglich, so SOLLTE geprüft werden, ob die Nachteile eines zeitgesteuerten Passwortwechsels in Kauf genommen werden können und Passwörter in gewissen Abständen gewechselt werden.

Man beachte hier immer das explizite "SOLLTE". Das heißt im Umkehrschluß aber auch, dass wenn es betriebliche Gründe für eine Nicht-Beachtung gibt, diese nicht zum standrechtlichen Erschiessen führt.

Von daher hilft bei allem eigentlich immer nur: Userschulungen! Und das solange, bis auch der letzte verstanden hat, warum das so ist.
lcer00
lcer00 14.02.2020 um 12:08:41 Uhr
Goto Top
Hallo,
Zitat von @Cloudrakete:

Seid ihr On-Prem unterwegs?
Wir nutzen Cloud App Security im Zusammenspiel mit der Security & Compliance von Microsoft aus der Cloud.
Dort sind entsprechende Policies hinterlegt, welche in harten Fällen (Mehr als 5 falsche Anmeldeversuche in 10 Min) protokolliert (IP, Location, Client OS, ggf. Browser + Version)

so wie ich das verstehe, geht es um das erkennen einer Passwortkompromitierung, nicht um das Verhindern.

Ist ein Passwort kompromittiert, ist der böse Loginversuch ja aus Sicht des Systems zulässig, der Benutzer wird authentifiziert. Im Grunde kann man das nicht erkennen.

Also muss man eine 2FA verwenden.

Grüße

lcer
Kraemer
Kraemer 14.02.2020 um 12:16:27 Uhr
Goto Top
Moin DWW,


Zitat von @DerWoWusste:
besagt im Abschnitt ORP.4.A23 Regelung für Passwort-verarbeitende Anwendungen und IT-Systeme [IT-Betrieb] (B)
Es MÜSSEN Maßnahmen ergriffen werden, um die Kompromittierung von Passwörtern zu erkennen

Ich kann mir allerhand Maßnahmen vorstellen, die aufzeichnen, wann Credentials an PCs eingegeben werden, wo der Nutzer nicht anmeldeberechtigt ist, oder gar zu nicht zugelassenen Anmeldezeiten,
genau das sollte damit gemeint sein

klar, aber was ist mit dem klassischen Fall von Shouldersurfing? Ich schau mir an, wie mein Büronachbar sein Kennwort eingibt, warte, bis der in einer Besprechung verschwindet, und entsperre seinen PC und handle eine Weile als er. Das kann bestenfalls eine Webcam erkennen.
das wird unter ORP.4.A8 Regelung des Passwortgebrauchs geregelt.

Gruß
clSchak
clSchak 14.02.2020 aktualisiert um 12:21:02 Uhr
Goto Top
Hallo @DerWoWusste

wir monitoren das Anmeldeverhalten der User via Elasticsearch & Kibana und entsprechenden Filtern. Darüber erhalten wir dann Infos wenn sich Benutzer z.B. an zwei unterschiedlichen Standorten anmelden oder die Anmeldung von unterschiedlichen DC's kommt.

Wenn z.B. eine Benutzeranmeldung "reguläre" nur über DC's aus Standort A kommt und plötzlich von Standort B erscheint das im Dashboard bei Kibana. Das gleiche wenn Anmeldeversuche von unterschiedlichen Geräten erscheinen.

Es gibt weitere Ansichten, aber das hat ein Kollege eingerichtet, ist wohl recht aufwendig solche Filter und Ansichten zu erstellen. Da wir aktuell die "freie" Edition nutzen sind da auch keine Melder geschaltet, so dass z.B. ein Benutzer direkt informiert wird.

bild1

Ist jetzt z.B. ein Ansicht der fehlgeschlagenen Anmeldung, der lange Balken ist von einem Benutzer der sein PW vor kurzen geändert hat aber irgendein Tool, hier wird Cisco CUAC sein, das dort noch nicht geändert hat (das fragt im Hintergrund an der Telefonanlage den IMP Status permanent ab).

Organisatorisch muss man die Leute erziehen und es muss bei verstößen auch Konsequenzen geben, ansonsten bringt keine Anweisung etwas. Wir haben das hier "spielerisch" gelöst und den Kolleginnen und Kollegen Möglichkeiten aufgezeigt was passiert wenn man sein Logindaten weitergibt oder den Rechner nicht sperrt: von Rundmails mit Einladungen zum Mittagessen bis hin zu sinnlosen Bestellungen in Webshops, das hat mehr geholfen wie jede Schulung face-wink.

Gruß
@clSchak
aqui
aqui 14.02.2020 aktualisiert um 14:09:08 Uhr
Goto Top
Oder ganz auf Passwörter verzichten und sich so dieser Problematik ganz entledigen:
https://www.heise.de/select/ct/2019/18/1566917336782380
DerWoWusste
DerWoWusste 14.02.2020 aktualisiert um 14:24:13 Uhr
Goto Top
Danke soweit für die Anregungen, allerseits.

Ich gehe mal auf ein paar davon ein:
die Benutzer könnten automatisiert eine Liste aller Anmeldungen erhalten verbunden mit der Bitte, diese zu prüfen
Das halte ich für utopisch. Grob geschätzt sind das an einem 8-Stundentag bei uns an diversen Systemen pro Nutzer 50-100 Anmeldungen, viele davon für den Nutzer nicht einmal nachvollziehbar (Mailserver, Updateserver, Sharepoint,... alles SSO)
Seid ihr On-Prem unterwegs?
Ja, ausschließlich.
Dagegen hilft effektiv nur MFA
Oder ganz auf Passwörter verzichten
Ja, aber nicht alle Anwendungen, die wir derzeit nutzen, unterstützen das. Aber gut, wir wollen da hin, soweit stimme ich zu.
Der Benutzer muss, eben wie in der Bank, schauen, dass die Eingabe nicht einsehbar ist.
Du kannst bei unverschlossenen Büros sehr schnell kleine Kameras anbringen und wieder entfernen, "schauen" hilft da nicht wirklich und das Büro immer abzuschließen ist noch nicht angedacht.
Im Weiteren heißt es aber auch:
Ist dies nicht möglich, so SOLLTE geprüft werden, ob die Nachteile eines zeitgesteuerten Passwortwechsels in Kauf genommen werden können und Passwörter in gewissen Abständen gewechselt werden.
Richtig. Und beim jährlichen Wechsel würde ich auch gerne bleiben wollen.
wir monitoren das Anmeldeverhalten der User via Elasticsearch & Kibana und entsprechenden Filtern. Darüber erhalten wir dann Infos wenn sich Benutzer z.B. an zwei unterschiedlichen Standorten anmelden oder die Anmeldung von unterschiedlichen DC's kommt
Ja, auf der Ebene kann man viel tun, aber ob da wirklich was Aussagekräftiges bei rumkommt? Wir haben nur einen Standort, aber mehrere DCs - es ist völlig normal, dass Anmeldungen binnen eines Tages zwischen den DCs wechseln.
Wir haben das hier "spielerisch" gelöst und den Kolleginnen und Kollegen Möglichkeiten aufgezeigt was passiert wenn man sein Logindaten weitergibt oder den Rechner nicht sperrt: von Rundmails mit Einladungen zum Mittagessen bis hin zu sinnlosen Bestellungen in Webshops
Das ist schön, aber Du wirst damit als Verantwortlicher im Fall der Fälle "weisen Sie nach, dass Sie den Pflichten, die sich aus dem Grundschutz ergeben, entsprochen haben" nicht unbedingt gut da stehen.
clSchak
clSchak 14.02.2020 um 14:34:59 Uhr
Goto Top
Zitat von @DerWoWusste:

Danke soweit für die Anregungen, allerseits.

Wir haben das hier "spielerisch" gelöst und den Kolleginnen und Kollegen Möglichkeiten aufgezeigt was passiert wenn man sein Logindaten weitergibt oder den Rechner nicht sperrt: von Rundmails mit Einladungen zum Mittagessen bis hin zu sinnlosen Bestellungen in Webshops
Das ist schön, aber Du wirst damit als Verantwortlicher im Fall der Fälle "weisen Sie nach, dass Sie den Pflichten, die sich aus dem Grundschutz ergeben, entsprochen haben" nicht unbedingt gut da stehen.


ja ist richtig, das einzige was hilft: Schulung abhalten und quittieren lassen das der MA teilgenommen, evtl. kleiner Fragebogen als "Test", alles andere ist Sinnfrei und hat keinen Nachweis, wenn du keine Unterschrift des MA hast ist alles wertlos, es geht aber darum die Leute von sich aus dazu zu bringen das keine Vorfälle gibt oder diese erst entstehen. Denn das bekommst mit "Schulung - Test - Unterschrift" nicht hin, das ist nur Augenwischerei.
Kraemer
Kraemer 14.02.2020 um 15:01:19 Uhr
Goto Top
Zitat von @DerWoWusste:
Das ist schön, aber Du wirst damit als Verantwortlicher im Fall der Fälle "weisen Sie nach, dass Sie den Pflichten, die sich aus dem Grundschutz ergeben, entsprochen haben" nicht unbedingt gut da stehen.
ich verweise noch einmal auf ORP.4.A8 - da steht alles zum "Shouldersurfing". Entsprechend schulen und fertig ist der Lack
DerWoWusste
DerWoWusste 14.02.2020 aktualisiert um 15:14:08 Uhr
Goto Top
ich verweise noch einmal auf ORP.4.A8 - da steht alles zum "Shouldersurfing". Entsprechend schulen und fertig ist der Lack
Eine solche Schulung taugt nicht dazu, nachzuweisen, dass die Kompromittierung von Passwörtern erkannt wird. Darum geht es. Es geht um das "Danach", nicht das "Davor".
Kraemer
Kraemer 14.02.2020 um 15:34:18 Uhr
Goto Top
Zitat von @DerWoWusste:

ich verweise noch einmal auf ORP.4.A8 - da steht alles zum "Shouldersurfing". Entsprechend schulen und fertig ist der Lack
Eine solche Schulung taugt nicht dazu, nachzuweisen, dass die Kompromittierung von Passwörtern erkannt wird.
Der vermischt hier zwei Themen!

Shouldersurfing verhindern: Schulung - siehe ORP.4.A8
Kompromittierung erkennen = Software, Counter etc (wo das möglich ist!) = ORP.4.A23

Beides lässt sich leicht dokumentieren. Und diese Dokumentation ist dein Nachweis
STITDK
STITDK 15.02.2020 um 16:44:44 Uhr
Goto Top
Servus ,

Anmeldung auf Systemen auf dennen der Nutzer nichts zu suchen hat.

Alle Anmeldungen die nicht von Autorisierten Benutzer stammen erzeugen sofort eine SMS Benachrichtigung, das Konto wird umgehen deaktiviert.
Alle Anmeldung mit Berechtigten Benutzer aber Falschen Kennwort erzeugen bei der 3 Fehlerhaften Anmeldung eine Deaktivierung mit SMS Benachrichtigung.

Der Rest mit "Erkennung" wenn keine anderen Aktionen mit dem Benutzer passieren, ist für ins tatsächlich ebenfalls eine schwierige Aufgabe.


Computer: Da ist es tatsächlich schwieriger zu Erkennen wer am entsprechenden Computer sitzt. Hier arbeiten wir aktuell an einer Lösung die den Zugriff nur erlaubt wenn der User ein "Dongle" auflegt. Ähnlich von Kassensystemen.

die Idee der Abgleich per Zeiterfasssung ist leider gestorben.

Ansonsten hilft nur eine Schulung nach der anderen.

Grüßle STITDK