Zum ersten Mal richtig wie ein Systemadministrator gefühlt habe ich mich, als der Unix-Systemadministrator der IT-Abteilung einer australischen Universität, in der ich arbeitete, drei Monate Urlaub hatte. Während seiner Abwesenheit war ich für alle Server verantwortlich, die er verwaltet hatte. Dazu gehörten neben den einigen wenigen Servern, um die ich mich gekümmert hatte, alle kleineren Abteilungsserver und die wichtigen Server auf Fakultätsebene. Zwar war ich schon zuvor für ein paar kleinere Abteilungsserver zuständig gewesen, doch war dies das erste Mal, dass ich ohne Sicherheitsnetz arbeitete – ohne meinen Kollegen oder sonst jemanden, der mir hätte helfen können, wenn etwas schief ging.
Bei der Übergabe vor seinem Urlaub machte ich eine interessante Entdeckung: Für die Administrator- und Root-Konten aller Server, um die er sich kümmerte, wurde dasselbe Kennwort verwendet. Das Kennwort für das Root-Konto für den Fakultäts-Webserver (ein DEC Alpha mit UNIX) war identisch mit dem Kennwort für das Administratorkonto in der Windows NT 4-Domäne der Fakultät. Mir war klar, dass diese Vorgehensweise fragwürdig war, auch wenn die Übergabe dadurch sehr einfach war.
Als der Administrator aus dem Urlaub zurückkam, änderte er bei keinem der Systeme das Kennwort. Als ich ein Jahr später auf eine andere Stelle wechselte, hatten die Server immer noch alle dasselbe Kennwort. Dies war definitiv ein Fall, in dem zugunsten der Bequemlichkeit auf Sicherheit verzichtet wurde.
Jeder weiß, dass Benutzer das Aktualisieren ihrer Kennwörter hassen und niemand gerne unterschiedliche Kennwörter für unterschiedliche Dienste und Systeme verwendet. Normalen Benutzern bleibt nicht wirklich eine Wahl, was die Aktualisierung ihrer Kennwörter betrifft, da sie die von der IT-Abteilung vorgegebenen Richtlinien nicht ändern können. Sie ändern ihre Kennwörter, weil sie dazu gezwungen werden, nicht weil sie das Thema Kennwortsicherheit begeistert.
Systemadministratoren hingegen haben die Möglichkeit, diese Richtlinien zu umgehen. Unterhält man sich mit ihnen, geben erstaunlich viele kleinlaut zu, dass sie ihre Kennwörter nicht ändern, obwohl sie Benutzer mit normalen Benutzerkonten genau dazu zwingen. Auch Systemadministratoren, die ihre Kennwörter tatsächlich regelmäßig ändern, tun dies nicht aus tiefer Überzeugung heraus. In der Regel gibt es in ihrem Unternehmen einen Mechanismus, der die Kennwortaktualisierung überwacht oder erzwingt und eine Warnmeldung ausgibt, wenn das Kennwort nicht geändert wird.
Das regelmäßige Ändern der Kennwörter für Administratorkonten ist noch wichtiger als das regelmäßige Ändern der Kennwörter für Benutzerkonten ohne umfangreiche Berechtigungen. Erhält ein Angreifer Zugriff auf das Kennwort eines administrativen Mitarbeiters, ist der Schaden, den er anrichten kann, überschaubar. Gelingt es ihm jedoch, das Kennwort eines Systemadministrators auszuspähen, ist die Infrastruktur des gesamten Unternehmens gefährdet. Administratorkennwörter müssen strengere Sicherheitsanforderungen erfüllen, da eine Kompromittierung dieser Konten wesentlich schlimmere Folgen hat.
Unternehmen müssen daher laufend prüfen, ob Systemadministratoren ihre Kennwörter regelmäßig aktualisieren. Überprüfen sie dies nicht, besteht wenig Grund zur Annahme, dass Systemadministratoren von sich aus das Richtige tun. Unternehmen sollten ein System implementieren, das automatisch Benachrichtigungen versendet, wenn das Kennwort für ein privilegiertes Konto nicht nach einem bestimmten Zeitraum geändert wird. So können sie sicherstellen, dass die Kennwörter regelmäßig aktualisiert werden. Glücklicherweise gibt es genau dafür hervorragende kostenlose Tools, die sich einfach installieren lassen und zur Verbesserung der Sicherheit beitragen.
Unter Windows Server lässt sich mit einer Abfrage von Active Directory feststellen, welche Konten so konfiguriert sind, dass die dafür festgelegten Kennwörter niemals ablaufen. Gemäß Best Practices sollten Konten grundsätzlich nicht auf diese Weise konfiguriert werden. Diese Frage sollten Sie sich stellen: „Wie viele Konten von Systemadministratoren sind in unserem Unternehmen so konfiguriert, dass ihre Kennwörter niemals ablaufen?“
Wenn Ihr Unternehmen nicht über außergewöhnlich gute Sicherheitspraktiken verfügt, lautet die Antwort mit Sicherheit „mehr als eines“.
