Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Nachlässiger Umgang mit privilegierten Passwörtern ist an der Tagesordnung

IT-Sicherheit: Passwort-Management

Nachlässiger Umgang mit privilegierten Passwörtern ist an der Tagesordnung

12. September 2007, 5:44 Uhr | Bernd Reder

Rund 42 Prozent aller Firmen verzichten nach einer Studie von IDC darauf, die Passwörter von privilegierten Accounts wie »root« oder »Administrator« zu ändern. Die stellt ein erhebliches Sicherheitsrisiko dar.

Die Befragung führte die Beratungsgesellschaft im Auftrag von Cyber-Ark durch. Die amerikanische Firma bietet Tools für die Verwaltung von »Privileged Passwords« an, etwa »Enterprise Password Vault«.

Gründe für den nachlässigen Umgang mit privilegierten Passwörtern gibt es genug: Bequemlichkeit, mangelndes Sicherheitsbewusstsein und nicht zuletzt der finanzielle Aufwand.

Der Studie zufolge summiert sich der Zeitaufwand, um auf einem Microsoft-Exchange-Server das Sysadmin-Passwort zu ändern, auf umgerechnet rund 30 Dollar.

Insgesamt geben Fortune-2000-Firmen laut der Studie im Schnitt rund 500.000 Dollar im Jahr aus, um privilegierte Passwörter zu ändern. Dies gilt allerdings nur in Unternehmen, die diese Einstellungen von Hand vornehmen lassen, ohne Hilfe eines Passwort-Management-Systems.

Vorgaben von Herstellern werden einfach übernommen

Häufig verwenden Systemverwalter die Log-in-Daten, welche die Anbieter von Soft- und Hardware vorgeben. Bei Windows-Systemen etwa ist das »Administrator«, bei Unix- und Linux-Rechnern »root« und bei Geräten von Cisco Systems »Cisco Enable«.

Ein weiteres Problem ist laut IDC, dass in rund 50 Prozent der Unternehmen mehr privilegierte als persönliche Passwörter vorhanden sind. Durch diesen Wildwuchs besteht die Gefahr, dass IT-Manager den Überblick darüber verlieren, wer Zugriff auf welche Systeme hat.

Damit nicht genug: Aus Bequemlichkeit verwenden Systemverwalter oft auf mehreren Systemen dasselbe Passwort. Außerdem mangelt es an Richtlinien, die den Umgang mit Log-in-Daten und Passwörtern regeln.

Diese Faktoren erleichtern es Angreifern, sich Zugang zum Unternehmensnetz oder einzelnen Systemen zu verschaffen. Davon profitieren nicht nur Hacker, die von außen in Rechner oder Netze eindringen wollen.

Auch Mitarbeitern, die aus Neugier oder bösem Willen auf fremden Systemen herumstöbern möchten, macht der saloppe Umgang mit Privileged Passwords das Leben leichter.

Für das Unternehmen hat das möglicherweise schwer wiegende Folgen, etwa wenn Geschäftsinformationen entwendet oder zerstört werden. Außerdem können Manager juristisch belangt werden, wenn sie diesen Aspekt der IT-Sicherheit vernachlässigen, Stichwort Compliance-Regeln.

www.cyber-ark.com

Jetzt kostenfreie Newsletter bestellen!

Matchmaker+
Softing IT Networks GmbH

Softing IT Networks GmbH
KONZEPTUM GmbH

KONZEPTUM GmbH
AvePoint Deutschland GmbH

AvePoint Deutschland GmbH
WatchGuard Technologies

WatchGuard Technologies
Plusnet GmbH

Plusnet GmbH
AfB gemeinnützige GmbH

AfB gemeinnützige GmbH