Das amerikanische Innenministerium – DOI – Department of the Interior hat bei einem Sicherheitscheck fast 86.000 Passwörter der US-Regierung überprüft. Über 18.000 wurden geknackt, davon knapp 14.000 in nur 90 Minuten. 362 Konten von hochrangigen Mitarbeitern sind extrem unsicher.
Viele Medien berichten immer wieder, dass Privatnutzer zu einfache Passwörter wie 12345 oder Password123 nutzen. Während Experten das immer wieder kaum glauben können, gibt es nun den Beleg, dass diese Passwörter sogar innerhalb der US-Regierung genutzt wurden. Das belegt der interne Sicherheitscheck des amerikanische Innenministerium – DOI – Department of the Interior.
21 Prozent der fast 86.000 Passwörter locker geknackt
In einer Studie haben Experten des Innenministeriums alle 85.944 Accounts und ihre Passwörter per Hash-Cracking-System angegriffen. Dabei werden Millionen von einfach Passwort-Kombinationen ausprobiert. So wurde festgestellt, dass etwa „Password-1234“ bei 478 Accounts genutzt wurde. Auch habe das US-Ministerium inaktive (ungenutzte) Konten nicht rechtzeitig deaktiviert oder Passwort Altersbeschränkungen durchgesetzt, wodurch mehr als 6.000 zusätzliche aktive Konten für Angriffe anfällig waren.
Auch stellte man fest, dass die Verwaltungspraktiken des Ministeriums und die Anforderungen an die Passwortkomplexität nicht ausreichten, um einen möglichen unbefugten Zugriff auf die Systeme und Daten zu verhindern. Im Verlauf der Inspektion wurden 18.174 von 85.944 – oder 21 Prozent der aktiven Benutzerpasswörter geknackt. Darunter fanden sich 288 Konten mit erhöhten Rechten und 362 Konten von hochrangigen Mitarbeitern der US-Regierung. Knapp 14.000 der 18.174 Passwörter wurden innerhalb von 90 Minuten geknackt.
Fehlende oder ungenutzte Multifaktor-Authentifizierung
Eigentlich ist die Multifaktor-Authentifizierung (MFA) mit zumindest einem Faktor seit 20 Jahren in der Behörde vorgeschrieben. Allerdings wurde nach dem Sicherheitscheck festgestellt, dass die Anweisungen nicht umgesetzt wurden. Besonders heikel: Auf 89 Prozent (25 von 28) seiner High Value Assets (HVA), also Bereiche mit sehr sensiblen Daten, wurde MFA nicht konsequent implementiert. Eine Verletzung eines HVA kann den Betrieb einer Behörde erheblich beeinträchtigen und zum Verlust von Verlust von sensiblen Daten führen.
Abgeschaltete Sicherheit wegen mobiler Nutzung
Normalerweise nutzen die Abteilungen für die Authentifizierung eine Smartcard und einen PIN – bekannt als SCRIL. Allerdings lassen sich die Smartcards nicht mit mobilen Geräten, Telefons oder Tablets, ohne weitere Hardware nutzen. Laut Innenministerium unterbricht SCRIL derzeit die Verbindung von mobilen Geräten. Daher ist die Sicherheit bei 94 Prozent der Konten, 80.740 von 85.944, nicht aktiviert.
Die Experten geben dem Ministerium sogar abschließend interessante Empfehlungen:
- Vorrangig PIV – Personal Identity Verification oder andere vom Ministerium zugelassene MFA-Methoden zu implementieren, die die nicht umgangen werden können um eine Ein-Faktor-Authentifizierung für alle Anwendungen zu ermöglichen.
- Entwicklung und Implementierung eines Verfahrens zur Verfolgung und Validierung des MFA-Status für alle Informationssysteme des Ministeriums.
Red./sel
Mehr bei DOIOIG.gov