Security-Desaster im US-Ministerium
Der Teufelskreis der schwachen Passwörter
Bei einer IT-Sicherheitsüberprüfung im amerikanischen Innenministerium konnten fast 20.000 teils kritische Zugänge ohne großen Aufwand geknackt werden. Sie waren nur mit äußerst schwachen Passwörtern geschützt, die zudem oft von mehreren Angestellten genutzt wurden.
Eigentlich sollte es sich inzwischen herumgesprochen haben, dass Passwörter wie „Password1234“ so gut wie keinen Schutz bieten und damit nicht zu gebrauchen sind – umso mehr, wenn es sich um hochsensible Informationen und Zugänge handelt. Doch ist und bleibt der Mensch wohl ein Gewohnheitstier, das diese wichtige Regel angesichts der kaum überschaubaren Zahl zu vergebender und merkender Passwörter immer wieder gerne ignoriert. Wozu das in der Praxis führt, beweist nun eindrücklich eine professionelle Überprüfung der IT-Sicherheit im US-Innenministerium. „Unser Ziel war es, festzustellen ob die Passwortverwaltung und -Vorgaben des Ministeriums wirksam genug sind, um zu verhindern, dass sich ein böswilliger Akteur durch das cracken von Passwörtern unbefugten Zugang zu den Computersystemen des Ministeriums verschaffen könnte“, beschreibt das Team von Auditorin Kathleen Sedney die Aufgabe.
Das Ergebnis ist nicht weniger als ein Desaster. Denn innerhalb von nur 90 Minuten konnten die Security-Experten über 13.000 der 85.944 Active-Directory-Zugänge knacken, die zum Schutz vor einer Kompromittierung als Hashes bereitgestellt worden waren. Mit etwas mehr Zeit konnten sie letztendlich sogar 18.174 der Passwörter herausfinden, also rund 21 Prozent. Alles was sie dafür benötigten, waren zwei speziell konfigurierte Rechner mit insgesamt 16 GPUs zum Gesamtpreis von rund 15.000 US-Dollar, wie sie auch von Hackern gerne eingesetzt werden. Diese Maschinen wurden von den Fachleuten mit diversen Listen typischer Passwörter, entsprechenden Datenbanken aus dem Internet sowie einigen Fachausdrücken aus dem Ministerium gefüttert, deren gut 1,5 Milliarden Einträge sie dann gemäß eines Wörterbuchangriffs abarbeiteten.
Wer nun glaubt, es habe sich bei den Betroffenen vielleicht um wenig sicherheitsbewusste Mitarbeiter mit vergleichsweise unkritischen Accounts gehandelt, der irrt gewaltig. Denn der Report führt weiter aus, dass unter den geknackten Passwörtern 362 von hochrangigen Regierungsangestellten stammten und weitere 288 zu Accounts gehörten, die über erweiterte Zugriffsprivilegien verfügen. Dazu kamen außerdem noch 245 Service-Accounts für Systemprozesse sowie ein Account eines Domänen-Administrators. Reicht Hackern schon ein einfacher Zugang für einen schweren Angriff, potenziert sich die Gefahr mit solchen sensiblen Premium-Zugängen nochmals erheblich. In der schlechtesten Abteilung wurden 63 Prozent der Passwörter geknackt, aber selbst bei den IT-Fachleuten am anderen Ende des Spektrums waren es noch knapp 5 Prozent.
- Der Teufelskreis der schwachen Passwörter
- Passwörter aus dem Anti-Lehrbuch
Lesen Sie mehr zum Thema
