Maßnahmen zum Passwortschutz Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


10.08.2011 Rudolf Felser

Maßnahmen zum Passwortschutz

Um ihre IT vor unbefugtem Zugriff zu schützen, sollten Unternehmen strenge Regeln für die Verwendung von Administrator-Accounts schaffen. Cyber-Ark weist auf wichtige Punkte zur Vorbeugung gegen Missbrauch hin.

Oft lassen Unternehmen schwache Passwörter zum Schutz von Benutzer-Accounts zu, obwohl sie rechtlich zu effektiveren Maßnahmen verpflichtet wären. Das deutsche Bundesdatenschutzgesetz etwa schreibt Betreibern von IT-Anlagen mit personenbezogenen Daten oder Datenkategorien vor, den unautorisierten Zugriff auf seine Daten zu unterbinden. Außerdem schreibt die EU-Richtlinie Basel II die Definition eines Regelwerks zum Umgang mit Passwörtern vor. Unternehmen, die an US-amerikanischen Börsen notiert sind, unterliegen zusätzlich dem Sarbanes-Oxley-Act und seinen Passwort-Vorschriften.

Um diesen Bestimmungen gerecht zu werden, sind Zugangsdaten und die mit ihnen verbundenen Kennwörter besonders zu schützen. Grundlegender Passwort-Schutz ist mit folgenden Richtlinien einfach herbeizuführen.

Sichere Passwort-Struktur Passwörter müssen durch ihre Struktur schwer zu knacken und möglichst komplex aufgebaut sein. Ein zyklischer Wechsel des Passworts, beispielsweise jeden Monat, stellt eine weitere Hürde für den Missbrauch von Passwörtern dar. Noch besser ist die Verwendung eines Kennwortgenerators mit Einmalpasswörtern, die nur einige Minuten gültig sind.

Sparsame Vergabe von Passwörtern für privilegierte Accounts Passwörter von privilegierten Accounts sollten nur an Personen ausgegeben werden, die sie für die Erfüllung ihrer Aufgaben tatsächlich benötigen. Zusätzlich lässt sich der Sicherheitsgrad durch die Vergabe von Einmal-Passwörtern im Single-Sign-On-Verfahren steigern. So kann sich ein Administrator anmelden, ohne das eigentliche Passwort zu kennen.

Vertraulichkeit des Passworts Jeder Benutzer verfügt über seinen eigenen Account und ein eigenes, individuelles Passwort. Das sollte auch bei Funktions-Accounts wie dem Administrator oder dem Webmaster der Fall sein, da sich ein Gruppenpasswort für eine von vielen gleichzeitig verwendete Kennung nicht geheim halten lässt. Bei neu erstellten Accounts mit vordefinierten Passwörtern sollten die Anwender diese unverzüglich selbst ändern.

Reaktion auf erfolglose Anmeldeversuche Fehlerhafte Anmeldeversuche sollten protokolliert werden. Zusätzlich ist es empfehlenswert, den Benutzer-Account bei einer gewissen Anzahl von Fehlversuchen zu sperren und die IP-Adresse, von der die Versuche ausgehen, zu speichern.

Einführung eines Systems zur Verwaltung privilegierter Accounts Die Gefahr, die von nachlässigem Umgang mit Passwörtern entspringt, ist dann besonders hoch, wenn es sich um privilegierte Accounts wie die von Superusern und Systemadministratoren handelt. Dafür sollten Sicherheitsmaßnahmen getroffen werden wie beispielsweise die Einführung eines Systems zur Verwaltung privilegierter Accounts. (pi/rnf)

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • Fabasoft AG

    Fabasoft AG Vereine und Verbände, Öffentliche Verwaltung, Medizin und Gesundheitswesen, Luft- und Raumfahrttechnik, Freie Berufe, Finanzdienstleistungen, Qualitätssicherung,... mehr
  • eyepin GmbH

    eyepin GmbH Application Service Providing, Auftragsentwicklung für Software, Individual-Softwareentwicklung, Programmierung, Übernahme von Softwareprojekten mehr
  • SNP AUSTRIA GmbH

    SNP AUSTRIA GmbH Qualitätssicherung, Kaufmännische Software (ERP), Tools, Programmiersprachen, Datenkonvertierung, Übernahme von Softwareprojekten, Systempflege- und Wartung,... mehr
  • Dimension Data Austria GmbH

    Dimension Data Austria GmbH Call Center, IKT-Consulting, Migrations-Management, Outsourcing, Systemintegration und Systemmanagement, Systempflege- und Wartung mehr

Hosted by:    Security Monitoring by: