Password Change Tool

Hilfsprogramm zur Unterstützung Anwendung der DSGVO (Datenschutzgrundverordnung) und zum Vereinfachen interner Aufgaben in Bezug auf Passwörter

Hintergrund

Wir – die Lucatec® GmbH - sind das IT-Gesundheitszentrum!

Ganz nach dem Motto „IT rundum gesund“ unterstützen wir kleine und mittelständische Unternehmen in Bremen und umzu. Dabei ist es uns besonders wichtig, die Anforderungen unserer Kunden an ihre IT genau zu kennen und sie bei der Umsetzung ihrer Wünsche bestmöglich zu unterstützen.

Unsere Kunden unterstützen wir als IT-Unternehmen außerdem im Bereich der IT-Sicherheit. In der heutigen Zeit ein Thema, das immer wichtiger für Firmen wird. Gemeinsam entwickeln wir passgenaue IT-Sicherheitslösungen: dazu gehören u.a. Firewallsysteme, Antivirenlösungen, sowie der Schutz von Smartphones und Tablets.

Die DSGVO beschäftigt Unternehmen nun schon seit einiger Zeit und sofern noch nicht geeignete sog. „technische und organisatorische Maßnahmen“ (TOMs) für entsprechende IT-Systeme definiert und eingeführt worden sind, sollte dies schnellstmöglich geschehen, um den Umgang mit personenbezogenen Daten DSGVO-konform zu realisieren.

Eine kritische Angelegenheit ist stets die Sicherung des Zugriffs zu Systemen, die an der Verarbeitung von personenbezogenen Daten beteiligt sind. Ein Aspekt dabei ist der Umgang und die Organisation von Passwörtern:

  • Wie lang muss es mindestens sein?
  • Welche Arten von Zeichen muss es enthalten?
  • Wie oft muss es geändert werden?
  • Wie ähnlich darf es „offensichtlichen“ Wörtern oder vorherigen Passwörtern gleichen?
  • Und wie stellt man sicher, dass sich alle Beteiligten an dieselben Vorgaben halten?

Problemstellung

Einer unserer Kunden sprach uns an während ein Konzept zur Umsetzung der DSGVO erstellt wurde. Besonders das Thema Passwörter war von großem Interesse, denn innerhalb des besagten Unternehmens gibt es sehr unterschiedliche Arten Mitarbeiter, welche die internen und externen Systeme unterschiedlich nutzen. Daraus ergab sich auch eine teilweise unterschiedliche Behandlung von z.B. externen Mitarbeitern und Mitarbeitern im Außendienst.

Lucatec wurde beauftragt eine Lösung für Außendienstmitarbeiter zu schaffen, welche es ermöglicht, die neue Gruppenrichtlinie bzgl. Passwörtern für alle Mitarbeiter einzuführen. Dabei sollte die Interaktion der Mitarbeiter bei nötigen Passwortänderungen (insbesondere für die Außendienstmitarbeiter) möglichst benutzerfreundlich gestaltet werden. Durch die Einführung der Gruppenrichtlinie ergaben sich ebenfalls Konsequenzen für die Außendienstmitarbeiter. Diese verwenden zwar lokale Benutzer auf den Endgeräten, zur Verwendung von Programmen, z.B. Microsoft Outlook, werden jedoch Benutzer der Firmendomäne verwendet. Dadurch sind u.A. Passwortänderungen in regelmäßigen Abständen und das nutzen eben dieser neu gesetzten Passwörter notwendig, um eine positive Verifikation zu erreichen.

Als Ausnahme von der üblichen Arbeitsweise haben sich die Tätigkeiten von Außendienstmitarbeitern herausgestellt, da diese hauptsächlich oder von Zeit zu Zeit

  1. mit mobilen Endgeräten und Benutzerkonten auf diesen Geräten arbeiten, welche nicht Teil der Firmendomäne sind – Automatismen bzgl. der Passwortneusetzung greifen daher nur sehr eingeschränkt oder gar nicht,
  2. nicht direkt mit dem firmeninternen Netz verbunden sind – die Verbindung zu z.B. E-Mail- und File-Servern wird über Fremd-, Mobil- oder Privatnetze aufgebaut
  3. gänzlich offline arbeiten, also ohne jegliche Netzverbindung, und dabei trotzdem auf gecachte oder anderweitig gesicherte Informationen zugreifen können müssen – B. E-Mails, Dokumente und andere Dateien.

Solche Mitarbeiter müssen also aus zuvor aufgezählten Gründen gesondert behandelt werden. Die Motivation liegt darin, Falscheingaben von Benutzern zu vermeiden, indem Passwörter entsprechend der Richtlinie rechtzeitig geändert und in erforderlichen Anwendungen angepasst werden. Dadurch wird die Wahrscheinlichkeit von (automatischen) Falscheingaben stark gesenkt und die Notwendigkeit von Administratorentätigkeiten zur Passwortrücksetzung minimiert. haben unsere Mitarbeiter aus Netzwerktechnik- und Software-Abteilung gemeinsam ein Konzept zur Abfrage des Passwortstatus und -Erneuerung erstellt.

Lösungskonzept

Die Lösung zu dem oben genannten Problem besteht aus 2 Komponenten – einem Webservice und einem Tool für den Einsatz auf dem Endgerät. Zusammen ermöglichen beide Komponenten das Abfragen der Passwortgültigkeit und falls erforderlich das Ändern des aktuellen Passworts.

Webservice

Der Webservice ist im Firmennetzwerk eingerichtet und bietet die Möglichkeit Anfragen an das firmeneigene Active Directory zu machen. Die Natur solcher Anfragen beschränkt sich auf

  • das Abfragen der Passwortgültigkeit für einen bestimmten Benutzer
  • und das Ändern des bisherigen Passworts.

Dazu werden Verbindungs- und Authentifikationsdaten hinterlegt, die eine entsprechende Verbindung und Berechtigung für das angesprochene Active Directory ermöglichen.

Bei beiden oben genannten Anfragearten werden die entsprechenden Informationen (z.B. Passwortgültigkeit und Erfolg der Passwortänderung) zurück an den Desktopclient gesendet, sodass dieser darauf basierend weitere Aktionen initiieren kann. Weitere Anfragen oder sonstige Funktionalität wurden bei der Entwicklung bisher nicht berücksichtigt, sind aber grundsätzlich möglich – wie z.B. detaillierte Informationen über den Benutzer, Anzeige von geltenden Richtlinien, Entsperren von Konten, etc.

Desktopclient

Unser Kunde hatte konkrete Anforderungen an den Desktopclient, welcher auf den Endgeräten zum Einsatz kommt:

  1. Keine Verzögerungen, sofern keine Aktionen des Benutzers nötig sind:
    • Falls das Passwort noch gültig ist, soll der Benutzer den Desktopclient nicht bemerken und sofort mit seiner Arbeit fortfahren können.
  2. Starten von Anwendungen nach Passwortüberprüfung oder -erneuerung:
    • Ist das aktuelle Passwort noch gültig und keine Erneuerung notwendig, so soll eine bestimmte Anwendung gestartet werden (z.B. Microsoft Outlook 2013).
    • Wurde das Passwort erfolgreich geändert, so soll eine weitere Anwendung gestartet werden.
  3. Der Desktopclient soll möglichst nahtlos in den Arbeitsalltag eingebunden werden:
    • Die Benutzer sollen in ihrem Arbeitsalltag nicht beeinträchtigt werden, dennoch sollen sie benachrichtigt werden, sobald eine Passworterneuerung nötig ist.

Um die oben genannten Anforderungen zu erfüllen, wurde folgende Funktionalität implementiert:

  • Ist keine Passwortänderung erforderlich, wird die hinterlegte Anwendung gestartet und der Desktopclient sofort beendet. Daraus erfolgt eine minimale Anzeigedauer des Desktopclients.
  • Ist eine Passwortänderung erforderlich und wurde diese erfolgreich durchgeführt, so ist das Starten einer weiteren Anwendung möglich.
  • Um die Passwortüberprüfung möglichst unsichtbar zu integrieren, können Verknüpfungen zu Anwendungen durch Verknüpfungen auf das Password Reset Tool ersetzt werden. Dabei könnte man ebenfalls das Symbol der Anwendung als Symbol der neuen Verknüpfung nutzen. So erzeugt man den Eindruck man starte die gewollte Anwendung und die Passwortüberprüfung wird vorher durchgeführt.

Programmablauf

Verwendete Technologien

Allgemein

  • .NET Framework 4.6.1
  • Microsoft CSharp 4.0.0.0
  • Microsoft Windows 10
  • Visual Studio 2017 15.8.2

Webservice

  • .NET Core 2.0
  • Microsoft Asp.Net Core 2.0.8
  • Microsoft Asp.Net WebApi Core 5.2.6
  • Microsoft IIS
  • Newtonsoft JSON.NET 11.0.0.0
  • NLog Web Asp.Net Core 4.5.4

Desktopclient

  • .NET Framework 4.6.1
  • Newtonsoft JSON.NET 11.0.0.0

Mit unserem Wissen und unserer Erfahrung helfen wir Ihnen gerne weiter und planen und programmieren Ihre maßgeschneiderter Softwarelösung oder die passende Schnittstellen für Softwareprodukte von Fremdherstellern.

Haben Sie Fragen zu unseren Dienstleistungen oder bereits eine Idee, die wir mit Ihnen diskutieren und umsetzen sollen? Dann rufen Sie uns einfach an oder schreiben Sie uns über das folgende Kontaktformular:

Schreiben Sie uns Ihre Produktvision

Kontakt

  • +49 (421) 57953-0
  • Lucatec GmbH Gutenbergstr. 22 D‑28816 Stuhr Germany