Laut dem 2021 Data Breach Investigations Report (DBIR) von Verizon sind über 80% der Hacker-Angriffe entweder auf Brute-Force-Cracking oder auf die Verwendung geleakte Zugangsdaten zurück zu führen.

(Quelle: https://www.verizon.com/business/resources/reports/dbir/)

Was darin liegt:

  • dass Internetkriminelle solche Daten auf einschlägigen Marktplätzen bereits für wenig Geld erwerben können.
  • und dem Umstand verschuldet ist, dass Anwender Passwortmüde werden. Im Durschnitt hat ein normaler Internetanwender mittlerweile 190 Benutzerkonten und denkt sich mit Sicherheit nicht für jeden Zugang ein Kennwort aus, welches auch Unique ist.

Umso wichtiger ist es, dass Unternehmen Maßnahmen ergreifen, die dafür sorgen ihre Systeme in Zeiten, wo Home-Office Arbeit an der Tagesordnung ist, bestmöglich vor unberechtigten Zugriffen zu schützen.

Denn beruflich genutzte Ticket- und Projektmanagementsysteme werden häufig nur mit Hilfe eines passwortgeschützten Benutzer-Logins vor der Außenwelt abgeschirmt. Und man kann davon ausgehen, dass auch unter einem Großteil der Mitarbeiter hinsichtlich der Passwortwahl das Credo gilt: Bequemlichkeit geht vor Sicherheit.

Vertrauen ist gut, Kontrolle ist wichtiger

Die Kontrolle von Benutzerkonten ist für Unternehmen wichtig, denn ihre wirtschaftliche Existenz kann davon abhängen. Wer seine Benutzerkonten aktiv verwaltet hat eine Chance dass inaktive oder vergessene Benutzerkonten nicht zur Schwachstelle mutieren.

Angriffe auf unternehmensrelevante, sensible Daten sind nur deshalb möglich, weil es noch nie so einfach war hierfür vergessene Accounts ehemaliger Mitarbeiter, Kunden oder Lieferanten zu missbrauchen.

Deswegen kommen Unternehmen nicht darum herum die intern implementierten, notwendigen Datenschutzregeln für ihre Mitarbeiter regelmäßig zu kontrollieren und aktuell zu halten.

Redmine Benutzerkonten vor Missbrauch schützen

Für Redmine Anwender haben wir ein paar Tipps und Lösungen parat, die einem diese Aufgabe erleichtern. Einige sind bereits standardmäßig in Redmine umsetzbar, andere können durch zusätzliche Plugins genutzt werden.

  • Paswortwechsel erzwingen
    In der Redmine-Konfiguration ist es möglich bei Authentifizierung mittels Passwort einen Passwortwechsel zu erzwingen. Hierfür stellt man die Auswahl von gesperrt auf einen der verfügbaren Werte zwischen 7 und 365 Tagen.

  • Zwei-Faktor-Authentifizierung (2FA) aktivieren.
    Das BIS empfiehlt beispielsweise die Aktivierung der Zwei-Faktor-Authentifizierung als zusätzliche Sicherheitsmaßnahme zu aktivieren, sobald diese möglich ist. Die aktuellen Redmine Versionen unterstützen 2FA für Benutzer als Authentifizierungsmaßnahme. In der Redmine-Konfiguration kann man hier zwischen den Optionen gesperrt, optional, erforderlich wählen. Wenigstens für Anwender mit Administratorrechten ist es empfehlenswert die Option erforderlich zu aktivieren.

    Redmine 2FA

  • Inaktive Benutzerkonten manuell aufspüren und sperren
    Gerade bei einer großen Anwenderanzahl hat man Probleme den Überblick über aktive und inaktive Benutzer zu behalten. Standardmäßig können Anwender mit Administratorrecht die Benutzerliste von Redmine sortieren nach deren Letzte Anmeldung und entscheiden, ob jemand gesperrt oder gelöscht wird.

    Komfortabler geht es mit Hilfe des Redmine HRM Plugins. Hier ist die Benutzerliste aus dem Adminbereich ausgegliedert. Dadurch dürfen auch Anwendern ohne Adminrecht, aber mit spezieller HRM-Berechitigung, Benutzer verwalten (anlegen, aktualisieren, sperren).

    Redmine user list

    Mit Hilfe zusätzlicher Filteroptionen wird dieser Schritt vereinfacht.

    • Benutzerkonten von Mitarbeitern sollte man immer mit einem Datumsfeld für den Austritt aus dem Unternehmen versehen. So fällt es leicht zu entscheiden, ab wann ein Benutzerkonto gesperrt werden muss. Denn das Austrittsdatum wird als Filter angeboten.
    • Benutzerkonten von externen Anwendern (Kunden, Auftragnehmer etc.) kann man auch mit einem Enddatum versehen. Aber natürlich anhand des Datums ihrer letzten Aktivität oder ihres letzten Logins aufspüren. Wurde ein Konto länger nicht mehr genutzt, kann man solche Accounts vorübergehend sperren. Auch die hierfür notwendigen Filter sind über die Benutzerliste des HRM Plugins abrufbar.

    Tipp: Speicher häufig genutzte Filter und Optionen einfach als Benutzerdefinierte Abfrage ab. Dann geht Dir diese Aufgabe schon mal schneller von der Hand.

  • Auffällige Benutzeraktivitäten überwachen
    Wer das Redmine Reportin Plugin nutzt hab die Möglichkeit über einen Einblick in das systemweite Anwendungslog auffällige Benutzeraktivitäten zu überwachen und sich hierfür mit Hilfe der Filter Benutzerdefinierte Abfragen zur kontrolle zu erstellen. Tätigkeiten, die man im Auge behalten sollte wären beispielsweise:

    • häufig fehlgeschlagene Anmeldungsversuche
    • Löschvorgänger jeder Art
    • Aktualisierung von Benutzerinformationen
    • Löschen von Benutzern
    • Konfiguration aktualisiert
    • Mitglied erstellt oder gelöscht
    • Anpassungen an Rollen durchgeführt (geändert, erstellt, gelöscht)

Alle Informationen zu unseren in diesem Artikel erwähnten Erweiterungen für Redmine gibt es auf der Produktseite. Kunden, deren Redmine den Mindestanforderungen nicht entspricht, oder die lieber jemanden für die Installation und regelmäßige Pflege ihrer Redmine-Instanz beauftragen wollen, haben alternativ die Möglichkeit unser Managed Applikation Hosting für Redmine zu buchen. Hier ist das Pluginangebot aus unserem Haus bereits Teil des Hosting Angebots. Die Funktionalität kann in unserer Online-Demo ausgiebig getestet werden. Eine Übersicht der Features befindet sich hier.

Weiterführende Infos

Aktualisiert: