Thumbnail

Insider Threats: Die echte Sicherheitslücke sitzt vor dem Computer.

Sarina Kraft 17/01/2019, Security

Wie merken Sie sich Ihr Passwort? Wie häufig ändern Sie Ihr Passwort? Nutzen Sie immer dasselbe Passwort, um sich bei den unterschiedlichen Diensten und Plattformen anzumelden? Wenn Sie nur ein einziges, unsicheres Passwort nutzen, riskieren Sie, dass alle Konten und Daten offenliegen, wenn es zum Passwortdiebstahl kommt

Nein, Sie gehören sicherlich nicht zu den Personen, die "Passwort", "12345", "qwertz" oder den Namen Ihrer Katze nutzen. Aber ein starkes Passwort allein genügt noch nicht, um sich vor unbefugtem Zugriff auf sensible Informationen und Unternehmensdaten zu schützen. Dies konnten wir gerade in der Presse lesen: Hunderte Politiker und Prominente wurde gehackt. Selbst Bundeskanzlerin Angela Merkel (CDU) war betroffen. Die Wirtschaftswoche schreibt dazu: „ … Nach einer ersten Analyse deutet vieles darauf hin, dass Daten durch die missbräuchliche Nutzung von Zugangsdaten zu Clouddiensten, zu E-Mail-Accounts oder zu sozialen Netzwerken erlangt wurden.“ Dies legt nahe, dass die betroffenen Personen das Thema Passwortsicherheit wohl nicht so ganz ernst genommen haben.

Die Hacker-Angriffe, Phishing-Mails, Viren und Trojaner kommen von außen. Was aber ist, wenn die Bedrohung im eigenen Unternehmen sitzt? Wenn böswillige oder unachtsame Mitarbeiter auf unternehmenskritische Server, Daten und Systeme zugreifen und immensen Schaden anrichten können? Und vergessen Sie nicht: Zu den Insidern gehören nicht nur Mitarbeiter, sondern oftmals auch Drittanbieter und Geschäftspartner, die autorisierten Zugriff auf Unternehmensdaten haben.

Eine Gefahr besteht immer, dass Insider ihren privilegierten Zugang dazu nutzen wollen, um sensible Daten des Unternehmens oder seiner Mitarbeiter zu stehlen, zu verändern oder zu löschen. Und im schlimmsten Fall könnten besonders technisch versierte Personen sogar Änderungen an der Konfiguration des Systems vornehmen.

Wie sicher ist Ihr Unternehmen vor unabsichtlichen oder vorsätzlichen internen Bedrohungen?

Sie wissen ja, dass prinzipiell jedes Passwort geknackt werden kann. Dies ist nur eine Frage von Zeit und Rechenleistung. Vermutlich werden Sie daher einen Mechanismus im Unternehmen implementiert haben, der die Nutzer alle vier Wochen daran erinnert, dass das Passwort geändert werden muss und mindestens eine Ziffer und ein Sonderzeichen enthält. Diese Maßnahme allein reicht jedoch nicht aus, um einen tatsächlich gesicherten Zugang zu unternehmenskritischen Daten zu gewährleisten. Wie schnell wird schon mal ein Passwort weitergegeben, z.B. bei Urlaubs- oder Krankheitsvertretungen. Daher benötigen Sie mindestens einen weiteren Faktor zur Authentifizierung. Selbst wenn das Passwort kompromittiert ist, ist die eigene Identität weiterhin geschützt. So wird verhindert, dass Hacker nur durch erbeutete Passwörter Zugang zu Nutzerkonten erhalten. Auch die diversen Internetplattformen, z.B. eBay oder Facebook ermöglichen bereits eine 2-Faktor-Authentifizierung. Wie sieht das aber in Ihrem eigenen Unternehmen aus? Wie sind Sie gegen Unachtsamkeit oder sogar Böswilligkeit der Mitarbeiter gewappnet?

2-Faktor-Authentifizierung ist Minimalstandard

Neben Sensibilisierungsmaßnahmen und Sanktionen (mehr dazu in einem der nächsten Blogposts) ist es sinnvoll, den Login-Prozess so einfach wie möglich zu gestalten. Wenn Sie der Meinung sind, dass der Zugang zu Ihren Unternehmensdaten durch zwei Faktoren ausreichend geschützt ist, dann sollten Sie sich für eine 2-Faktor-Authentifizierung mit sehr benutzerfreundlicher Bedienung entscheiden. Diese Methode funktioniert auf unterschiedliche Weise und lässt sich an jede Gegebenheit anpassen. Wichtig ist immer die Anwenderfreundlichkeit der Lösung. Sie können beispielsweise eine Push-Nachricht direkt an ein mobiles Endgerät senden, sich mittels Fingerabdruck authentifizieren um die App zu öffnen und dann die Login-Nachricht bestätigen. So bleibt der Zugang auf Netzwerke und Datenbanken denkbar einfach und die Sicherheit ist gewährleistet.

Eine Multifaktor-Authentifizierungslösung, also drei Faktoren, ist derzeit jedoch der Königsweg bei der Sicherung vor unbefugtem Zugriff auf sensible Daten. Lesen Sie mehr dazu im nächsten Blogpost.

Related Posts