Der Breached Password Test (BPT) ist ein kostenloses Tool, das die Konten in Ihrem Active Directory (AD) auf zahlreiche Schwachstellen analysiert. Der BPT prüft, ob E-Mail-Adressen der Nutzerinnen und Nutzer Ihrer Domain in früheren Leaks von Anmeldedaten kompromittiert wurden und ob AD-Konten derzeit Passwörter aus früheren Leaks von Anmeldedaten nutzen. Dieser Test liefert Ihnen einen Einblick, ob Ihre Organisation anfällig für Passwortangriffe ist.

Gründe für den Breached Password Test

Sehr oft wird ein und dasselbe Passwort für mehrere Konten verwendet. Nutzerinnen und Nutzer bekommen jedoch selten mit, wenn sie von Datenschutzverletzungen betroffen sind. Daher ergreifen sie auch keine Schutzmaßnahmen wie die Änderung der Passwörter von Onlinekonten.

Nach einer Datenschutzverletzung und dem Leak von Anmeldedaten sind diese Informationen einfach auffindbar und Cyberkriminelle können diese nutzen, um sich als die betroffenen Nutzerinnen und Nutzer auszugeben. Die geleakten Passwörter werden auch in Kombination mit allen anderen Konten Ihrer Domain eingesetzt, was die Wahrscheinlichkeit eines erfolgreichen Eindringens erhöht.

Jeden Tag treten neue Datenleaks auf. Mit diesem Tool und der bereits vorhandenen Sicherheitsstruktur reduzieren Sie die Gefahr, die Datenschutzverletzungen für Ihre Organisation darstellen. Wir empfehlen, dieses Tool mindestens einmal im Monat auszuführen.

Wie funktioniert der Test?

Der Breached Password Test stellt eine Verbindung zu Ihrem AD her, um Ihre Domain(s) sowie die Passworttabelle (mit gehashten Passwörtern) und den Verschlüsselungsalgorithmus abzurufen. Das Tool gleicht Ihre Domain und Passwörter dann mit einer Datenbank ab, die über eine Milliarde geleakte Passwörter enthält.

Sind meine Informationen sicher?

Ja. Dieses Tool zeigt oder veröffentlicht niemals die Passwörter von Nutzerkonten in Ihrem AD, auch nicht die ursprünglichen Anmeldedaten aus der Datenschutzverletzung, von der Ihre Domain betroffen war. Die Passwörter in Ihrem AD liegen in einem gehashten Format vor und sind zu keinem Zeitpunkt sichtbar. In den Testergebnissen sind die Konten mit unsicheren Passwörtern aufgeführt, sodass Sie die Gelegenheit haben, etwas zu unternehmen.

Bei der Verwendung dieses Tools werden keine vertraulichen Daten aus Ihrem Netzwerk übertragen, nur die Domain bzw. Domains aus Ihrem Active Directory. Die während des Tests gewonnenen Informationen werden im lokalen Arbeitsspeicher und nicht auf der Festplatte gespeichert.

Systemvoraussetzungen

Systemvoraussetzungen

Für den Breached Password Test muss Ihr System die folgenden Voraussetzungen erfüllen:

• Windows 10 oder höher (32 oder 64 Bit), Windows Server 2016 oder höher
• Active Directory (AD) unter Windows Server 2008 R2 oder höher
• Zugriff auf den Domain Controller (DC)
• Internetzugang
• .NET Framework 4.7.2 (wird ggf. installiert)
• Mindestens zwei Prozessoren
• Mindestens 2 GB RAM
• Mindestens 1 GB Festplattenspeicher auf dem Systemlaufwerk
• User Account Control (UAC) aktiviert

Führen Sie diesen Test auf einem anderen System als dem DC aus, da der Scanvorgang den Netzwerkverkehr und die CPU-Auslastung vorübergehend deutlich erhöhen kann.

Voraussetzungen

Für die Installation werden die folgenden Informationen benötigt:

1. Lizenzschlüssel (Sie erhalten den Lizenzschlüssel, wenn Sie sich für den Test registriert haben.)
2. Domainname Ihres AD (z. B. MyDomain.com oder MyDomain.local)
3. Name des Domain Controllers (DC)
4. Anmeldedaten zum Herstellen einer Verbindung mit Ihrem AD
   • Im folgenden Artikel erfahren Sie, wie Sie diese erforderlichen Berechtigungen schnell zu einem Konto in Ihrem AD hinzufügen: Erteilen der Berechtigung „Replicating Directory Changes“ Erteilen der Berechtigung „Replicating Directory Changes“ (Link wird in einem neuen Fenster geöffnet)
   • Domain-Administratorinnen und -Administratoren haben nicht standardmäßig eine Zugriffsberechtigung für diese Informationen. Daher kann dieses Tool eventuell nicht mit dem Konto von Domain-Administratorinnen und -Administratoren ausgeführt werden.
   • Wir empfehlen dringend, zum Ausführen dieses Tests ein neues Konto mit diesen Berechtigungen im AD anzulegen. Nach dem Test sollten Sie dieses neue Konto gemäß dem Prinzip der geringsten Privilegien löschen.

   • Warum soll ein neues Konto erstellt werden? Bei einem dedizierten Konto lässt sich einfacher bestimmen, wann ein Test stattgefunden hat und welches Konto die Informationen aufgerufen hat, falls Sie diese Informationen zu einem späteren Zeitpunkt benötigen. Außerdem lassen sich die benötigten Berechtigungen unkomplizierter entfernen: Nach dem Test können Sie das neu hinzugefügte Nutzerkonto einfach löschen.

     Wichtig: Damit der Test erfolgreich ausgeführt werden kann, müssen die Berechtigungen Replicating Directory Changes und Replicating Directory Changes All für die Anmeldedaten aktiviert sein, die Sie für das Herstellen einer Verbindung zwischen Ihrem AD und dem Breached Password Test verwenden. Mit diesen Berechtigungen kann eine Kopie der Passworttabelle zu Analysezwecken abgerufen werden.

Installation und Einrichtung

Gehen Sie wie folgt vor, um den Breached Password Test zu installieren und einzurichten:

1. Navigieren Sie zu https://www.knowbe4.com/breached-password-test https://www.knowbe4.com/breached-password-test (Link wird in einem neuen Fenster geöffnet).

2. Geben Sie im Formular zur Registrierung für den kostenlosen Test die erforderlichen Informationen ein und klicken Sie auf Jetzt herunterladen. Sie erhalten dann per E-Mail den eindeutigen Lizenzschlüssel zum Ausführen des Tests.

   

3. Laden Sie über die Vielen Dank-Seite des Breached Password Test die EXE-Installationsdatei herunter.

   Hinweis: Sie können auch die optionale Checksum-Datei herunterladen.

4. Doppelklicken Sie auf die heruntergeladene Datei, um den KnowBe4 Breached Password Test Setup Wizard zu öffnen. Klicken Sie auf Yes, wenn Sie dazu aufgefordert werden, damit das Programm Änderungen an Ihrem Computer vornehmen kann.

   

5. Lesen und akzeptieren Sie die Lizenzvereinbarung. Klicken Sie dann auf Install, um den Setup-Assistenten auszuführen.

   

6. Klicken Sie im Setup-Assistenten auf Next, wenn Sie dazu aufgefordert werden. Klicken Sie dann auf Finish, um die Installation abzuschließen. Das Tool „Breached Password Test“ wird automatisch auf Ihrem Desktop gespeichert. Wenn Sie das Kontrollkästchen Launch KnowBe4 Breached Password Test aktiviert haben, wird das Tool automatisch geöffnet.

   

7. Nach dem Öffnen des Tools Breached Password Test wird das Pop-up-Fenster License Info im Hauptfenster angezeigt. Geben Sie im Pop-up-Fenster im Feld License Key den eindeutigen Lizenzschlüssel ein, der per E-Mail an die E-Mail-Adresse gesendet wurde, mit der Sie sich registriert haben. Klicken Sie dann auf OK, um zum Hauptfenster zurückzukehren.

   

8. Geben Sie im ersten Feld unter Active Directory Details den DNS-Namen Ihres Active Directory (AD) ein. Beispiel: MyDomain.com oder MyDomain.local.

   

9. Geben Sie im zweiten Feld unter Active Directory Details den Namen Ihres Domain Controllers (DC) ein. Beispiel: DC1.

   Hinweis: Sie können auch die IP-Adresse eingeben. Wir empfehlen jedoch die Eingabe des Namens, da dies zuverlässiger ist und sicherstellt, dass bei Netzwerkänderungen weiterhin sichere Verbindungen bestehen.

10. Geben Sie im ersten Feld unter Credentials den Nutzernamen des von Ihnen erstellten Kontos ein.

    Hinweis: Das Konto muss über die Berechtigungen Replicating Directory Changes und Replicating Directory Changes All verfügen. Sie können auch das Kontrollkästchen Use current logged on user aktivieren, um die Anmeldedaten des Kontos zu verwenden, mit dem Sie gerade angemeldet sind.
11. Geben Sie im zweiten Feld unter Credentials das Passwort des von Ihnen erstellten Kontos ein.
12. Klicken Sie auf Start Test, um den Test zu starten.

Der Test gleicht zunächst die Domains in Ihrem AD mit Informationen aus bekannten Datenschutzverletzungen ab. Anschließend werden die aktuellen Passwörter in Ihrem AD mit in Datenschutzverletzungen offengelegten Passwörtern verglichen, von denen Nutzerinnen und Nutzer Ihrer Domain betroffen waren. Dies dauert in der Regel nicht länger als eine Minute, kann jedoch je nach Leistung Ihres Active Directory und Ihres Computers auch länger dauern.

Die Ergebnisse werden auf dem Bildschirm angezeigt, sobald der Test abgeschlossen ist.

Analysieren Ihrer Ergebnisse

Die Ergebnisse aus dem Breached Password Test zeigen Ihnen, ob Konten von der Domain Ihrer Organisation von einer Datenschutzverletzung betroffen sind. Darüber hinaus erfahren Sie, ob geleakte Passwörter aus diesen kompromittierten Konten derzeit in Ihren AD-Konten verwendet werden. Hinweis: Deaktivierte AD-Konten werden im BPT-Scan nicht berücksichtigt.

Ihre Testergebnisse resultieren in einem der folgenden drei Szenarien:

Szenario 1: „Tolle Neuigkeiten! Ihre Domains wurden in der aktuellen Liste mit Datenleaks nicht gefunden.“

Wenn Sie nach dem Breached Password Test dieses Ergebnis erhalten, wurde(n) die Domain(s) in Ihrem AD gescannt, jedoch keine Übereinstimmungen zwischen den Konten Ihrer Domain und den Konten in der Datenbank mit geleakten Passwörtern gefunden.

Führen Sie diesen Test einmal in der Woche oder einmal im Monat aus. Der Test wird ständig mit neuen Daten aktualisiert.

Szenario 2: „XX Passwörter von Ihrer Domain wurden in Datenleaks gefunden. Keines dieser Passwörter befindet sich derzeit in Ihrem Active Directory.“

Wenn Sie nach dem Breached Password Test dieses Ergebnis erhalten, hat der Test eine oder mehrere Ihrer Domains in der Liste mit Datenschutzverletzungen gefunden. Die Passwörter, die für diese Konten bei der Datenschutzverletzung kompromittiert wurden, werden derzeit jedoch nicht in Ihrem AD verwendet.

Dieses Testergebnis ist ganz ordentlich. Jedoch verwenden Nutzerinnen und Nutzer alte Passwörter oft wieder. Führen Sie diesen Test daher regelmäßig durch, um dieses Szenario proaktiv zu überwachen. Ihre Nutzerinnen und Nutzer sollten ein Security Awareness Training absolvieren. Nutzerinnen und Nutzer, deren Daten bei Datenschutzverletzungen offengelegt wurden, werden eher zum Ziel von Social-Engineering- oder Spear-Phishing-Angriffen.

Szenario 3: „Für XX Konten werden derzeit kompromittierte Passwörter verwendet. XX Passwörter von Ihrer Domain wurden in Datenleaks gefunden.“

Wenn Ihnen als Testergebnis diese Nachricht angezeigt wird, müssen für die betroffenen Konten sofort Maßnahmen ergriffen werden. Eine Liste der unsicheren Active Directory-Konten, für die in einer Datenschutzverletzung geleakte Passwörter verwendet werden, wird angezeigt. Cyberkriminelle verwenden diese Passwörter gegen Ihre Nutzerinnen und Nutzer. Ihre Organisation ist daher anfälliger für Eindringlinge.

Sie sollten die betroffenen Nutzerinnen und Nutzer auffordern, ihre Passwörter so schnell wie möglich zu ändern. Vergessen Sie im Anschluss nicht, den Breached Password Test regelmäßig auszuführen, da Nutzerinnen und Nutzer alte Passwörter häufig erneut verwenden.

Exportieren der Ergebnisse

Die Ergebnisse werden sofort auf dem Bildschirm angezeigt. Sie können die Ergebnisse jedoch auch als Excel-Arbeitsblatt (XLSX) oder PDF auf Ihre Festplatte herunterladen. Speichern Sie Ihre Ergebnisse, wenn Sie vorhaben, den Test erneut auszuführen.

Klicken Sie auf „Export to Excel“ oder „Export to PDF“ (siehe Abbildung), um Ihre Ergebnisse zu speichern. Sie werden aufgefordert, Ihre Datei zu benennen und einen Speicherort auszuwählen.

Häufig gestellte Fragen (FAQ)

1. Werden die kompromittierten Passwörter angezeigt?

   Nein. Die Passwörter sind gehasht und können nicht angezeigt werden.

2. Werden Protokolle während des Tests generiert?

   Ja. Wenn Sie den Breached Password Test zum ersten Mal ausführen, wird eine Protokolldatei erstellt. Die Datei wird hier gespeichert: C:\Program Data\KnowBe4\Breached Password Test.

3. Es wird eine Fehlermeldung angezeigt. Der Test wurde nicht ausgeführt. Was soll ich tun?

   Wenn Sie einen Fehler erhalten und der Test nicht abgeschlossen wurde, suchen Sie in der folgenden Tabelle nach der möglichen Ursache:

   Fehlermeldung	Problem
   Das Active Directory-Konto, mit dem Sie den Test ausführen möchten, verfügt nicht über „Replicating Directory Changes“-Berechtigungen. Bitte sehen Sie sich in unserem unten verlinkten Handbuch die erforderlichen Voraussetzungen an.	Das Konto, das Sie für den Test verwenden, verfügt nicht über die erforderlichen Berechtigungen. Stellen Sie sicher, dass das erstellte Konto über „Replicating Directory Changes“-Berechtigungen UND „Replicating Directory Changes All“-Berechtigungen verfügt. Weitere Informationen finden Sie hier.
   Der Test konnte aufgrund eines ungültigen Nutzernamens und/oder Passworts nicht ausgeführt werden. Bitte überprüfen Sie Ihre Anmeldedaten und starten Sie den Test erneut.	Wir konnten mit den bereitgestellten Anmeldedaten keine Verbindung zu Ihrem AD herstellen. Überprüfen Sie Nutzername und Passwort auf Richtigkeit und starten Sie den Test erneut.
   Der Server ist nicht verfügbar. Bitte überprüfen Sie Ihren DNS-Namen und starten Sie den Test erneut.	Dieser Fehler bedeutet, dass Ihr DNS-Name falsch oder falsch formatiert ist. Stellen Sie sicher, dass das Format richtig ist („mydomain.com“ oder „mydomain.local“) und starten Sie den Test erneut.
   Der Server ist nicht verfügbar. Bitte überprüfen Sie Ihren Domain Controller und starten Sie den Test erneut.	Dieser Fehler bedeutet, dass der Name oder die IP-Adresse Ihres Domain Controllers (DC) falsch oder der DC nicht erreichbar ist. Überprüfen Sie den Namen bzw. die IP-Adresse des DCs und versuchen Sie erneut, den Test auszuführen.
   Die Lizenzvalidierung ist fehlgeschlagen.	Dieser Fehler kann zwei Ursachen haben: a) Entweder ist der von Ihnen verwendete Lizenzschlüssel ungültig oder b) Sie versuchen, den Lizenzschlüssel über einen Proxy zu validieren, jedoch schlägt dies fehl. Wenn der Fehler auf einen Proxy zurückzuführen ist, lassen Sie Verbindungen zu dieser Domain in Ihren Proxy-Einstellungen zu, damit Ihr Lizenzschlüssel validiert werden kann: https://bpt.knowbe4.com/*

4. Kann ich diesen Test mit Azure AD ausführen?

   Nein. Dieses Tool funktioniert nur mit einem lokalen AD.

5. Das Antivirus-Programm hat den Test als gefährlich eingestuft. Stimmt das?

   Nein. Es ist unbedenklich, diesen Test auszuführen. Der Breached Password Test verhält sich möglicherweise wie Tools zum Knacken von Passwörtern. Daher wird der Test von Antivirus-Programmen möglicherweise als gefährlich eingestuft.

6. Der Test hat mehrere Nutzerinnen und Nutzer mit kompromittierten Passwörtern gefunden. Was soll ich jetzt tun?

   Fordern Sie die betroffenen Nutzerinnen und Nutzer auf, sofort ihre Passwörter zu ändern.

   Schulen Sie Ihre Nutzerinnen und Nutzer durch Security Awareness Training im Erstellen sicherer Passwörter. Führen Sie ein solches Training regelmäßig durch. Teilen Sie Ihren Nutzerinnen und Nutzern auch mit, dass sie ein Passwort nicht für verschiedene Konten verwenden dürfen. Bei KnowBe4 finden Sie mehrere Kurse zu den Best Practices für Passwörter.

   Im Folgenden finden Sie einige hilfreiche Ressourcen, in denen Sie erfahren, wie Sie die Verwendung schwacher Passwörter in Ihrer Organisation verhindern können.

   • TechNet: Configuring Password Policies Configuring Password Policies (Link wird in einem neuen Fenster geöffnet)
   • TechNet: Best Practices for Enforcing Password Policies Best Practices for Enforcing Password Policies (Link wird in einem neuen Fenster geöffnet)
   • Microsoft: Password Guidance (PDF zum Herunterladen) Password Guidance (PDF zum Herunterladen) (Link wird in einem neuen Fenster geöffnet)

7. Woher stammen die Daten aus Datenleaks? Kann ich diese Liste abrufen?

   Die im Breached Password Test genutzten Daten werden durch die Recherche öffentlich zugänglicher Informationen zu Datenleaks gewonnen. Dabei handelt es sich um proprietäre Informationen. KnowBe4 arbeitet darüber hinaus mit Spycloud.com zusammen. Spycloud ist ein renommierter Onlinedienst, über den Nutzerinnen und Nutzer überprüfen können, ob ihre E-Mail-Adresse bei früheren Datenschutzverletzungen offengelegt wurde.

8. Wird angezeigt, von welchen Nutzerinnen und Nutzern Anmeldedaten geleakt wurden?

   Aus Datenschutz- und Sicherheitsgründen stellt der Breached Password Test keine Details zu dem kompromittierten Konto bereit, das mit Ihrer Domain verknüpft ist. Ausführliche Informationen zu den Datenleaks, von denen Ihre Nutzerinnen und Nutzer betroffen waren, finden Sie in den Ergebnissen von EEC Pro nach einer Registrierung Registrierung (Link wird in einem neuen Fenster geöffnet).