Sicher unsicher: Wenn der Admin "Admin" heisst

Wir gehen in diesem Beitrag auf eigentlich selbstverständliche Sicherheitsmaßnahmen rund um Admin-Rechte ein und geben gleichzeitig einen Einblick in die Standards, die wir diesbezüglich bei den Office 365 Mandanten unserer Kunden vorsehen.

Zunächst aber ein kleiner Exkurs in die Welt der Web-Seiten. Ein klassischer Fehler z.B. bei der Einrichtung von Web-Seiten mit dem CMS (Content Management System) Wordpress, ist die Nutzung eines Benutzers mit Admin-Rechten nicht nur für die Einrichtung und administrative Zwecke, sondern auch für die redaktionelle Nutzung. Wenn der Benutzername dann noch das Wort "admin" enthält, dann trennen die automatisiert und im großen Maßstab laufenden Cyberangriffe vom Erfolg nur noch ein womöglich zu schwaches Passwort.

Der Hintergrund ist folgender: Wordpress ist das am meisten genutzte System für Web-Seiten. Jeder Hobby-Hacker zwischen Novosibirsk und Canberra kennt die URL der Wordpress Login-Seite. Gleichzeitig ist es sehr einfach massenhaft Wordpress Web-Seiten im Internet zu erkennen und automatisiert nach den Autoren im Blog einer Web-Seite zu durchkämmen. Wenn dann ein Autor z.B. MarkusAdmin heißt, dann liegt nahe, dass dieser Benutzer Admin Rechte besitzt. So kann man dann gezielt ein Login mit diesem Nutzer und maschinell geratenen Passwörtern probieren. Alles vollkommen automatisiert und garantiert mit einer signifikanten Trefferquote. Beweis gefällig? Man nehme ein Homepage mit Wordpress, schreibe mit dem Benutzer MarkusAdmin einen Artikel und garantiert kann man einige Tage später im Sicherheits-Log von Wordpress viele (hoffentlich fehlgeschlagene) Login-Versuche mit diesem Benutzer feststellen.

Der entscheidende Schutz vor Hackern bei Wordpress und vergleichbaren Systemen ist deshalb: Die Trennung von Admin und Redakteur. Das sind zwei Hüte auch wenn sie von einer Person getragen werden. Bitte immer nur einen Hut tragen! Wird der andere Hut benötigt, dann muss man eben einen absetzen und den anderen wieder aufsetzen.

Das ist dann auch die Analogie zu Office 365: Wir trennen grundsätzlich bei allen von uns administrierten Office 365 Mandanten die Admin-Rechte von den normalen Nutzern, d.h. die Nutzer haben keine Admin-Rechte, oder nur Teilrechte für einzelne administrativen Aufgaben (z.B. um bestimmte Auswertungen zu fahren). Ein separater Admin-User kostet in O365 übrigens keinen Cent, denn er funktioniert auch ohne eine kostenpflichtige Lizenz.

Tipp: Die globalen Admins bei Office 365 bekommen per Email Dienstinformation und Nachricht über auslaufende Lizenzen. Wenn der Admin aber keine Lizenz und damit kein Postfach hat, kommen die Mails nur an, wenn der Admin eine existierende sog. alternative Email-Adresse gesetzt hat.

Nicht zuletzt darf der Admin Benutzer natürlich nicht "admin" oder "administrator" heißen. Bei unseren Mandanten finden Sie diese Nutzer nicht.  Auch die Wahl eines sehr starken Passworts (bei Office 365 sind bis zu 15 Stellen erlaubt) muss man wohl kaum erwähnen. Möchte ein normaler Nutzer dauerhaft Admin-Rechte, so sollte das immer nur in Verbindung mit der MFA (Mehrfaktor Authentifizierung) erlaubt sein. Dies ist im Normalfall neben dem Passwort eine Art TAN z.B. aus einer App.

Am Ende können wir niemandem zu seinem Glück zwingen, schließlich hat jeder Kunde ein Recht auf seinen Mandanten und den Admin-Zugriff. Aber zumindest unsere Kunden akzeptieren die Maßnahmen und würdigen sie als sinnvollen Beitrag zu mehr Sicherheit.