Wenn Passwörter in die falschen Hände geraten

it-sa 2019

NürnbergMesse

NuernbergMesse / Thomas Geiger

Ein schwaches Passwort kann viel Ärger bereiten, wenn es in die falschen Hände gerät. Zugriffs- und Berechtigungskonzepte können davor schützen, müssen jedoch unternehmensweite Gültigkeit besitzen.

Ohne Sicherheitsstrategie mangelt es an Konzepten zur Absicherung unternehmenskritischer Daten. Durch mangelhaften Zugriffsschutz entstehen dann schnell Sicherheitsprobleme. Der Missbrauch von Passwörtern gehört nach wie vor zu den Hauptursachen für Datendiebstähle und Rechnereinbrüche. 

Die Folge sind nicht nur materielle Schäden und Image-Verlust, auch juristische Konsequenzen drohen. Verantwortliche sollten daher ein unternehmensweites Konzept entwickeln, wie sensible Informationen geschützt werden. Die Basis bildet ein Zugriffs- und Berechtigungskonzept, wozu auch die Absicherung der Zugangsdaten durch ein Identity- und Access-Management (IAM) gehört.

Risiko Mitarbeiter

Vorhandene Zugriffskonzepte sind häufig veraltet, basieren also beispielsweise nur auf Passwörtern. Existiert ein sinnvolles Berechtigungskonzept, mag das noch angehen. Denn damit wird geregelt, welche Dateien und Informationen besonderen Schutz bedürfen und wer darauf überhaupt zugreifen darf. Für besonders sensible Informationen wird der Kreis der Berechtigten entsprechend eingeschränkt und Instruktionen für sichere Passwörter erlassen. Sollte ein Mitarbeiter ohne besondere Zugriffsberechtigungen ein zu einfaches Passwort gewählt haben oder dieses in falsche Hände geraten, ist der Schaden durch das Berechtigungskonzept zunächst beschränkt, weil auf sensible Informationen kein Zugriff besteht.

Accounts mit Zugriff zu sensiblen Informationen benötigen aber immer strenge Schutzkonzepte.

Existiert hingegen kein ausgefeiltes Berechtigungskonzept, haben eventuell Mitarbeiter Zugriff auf sensible Daten, die diesen Zugriff gar nicht benötigen. Das stellt ein erhebliches Risiko da, weil vielen Mitarbeitern das nötige Sicherheitsverständnis fehlt, sie nicht hinreichend geschult sind oder ihnen gar nicht bewusst ist, welcher Schaden mit ihren Zugriffsrechten angerichtet werden kann. Hier lauern ungeahnte Gefahren.

Deshalb sind Sicherheitsstrategien mit Zugriffskonzepten dringend erforderlich. Die verwendeten Authentifizierungsverfahren sollten jedoch zu den geschützten Informationen und Daten passen. In vielen Bereichen ist ein reines Passwort nicht mehr ausreichend, sondern eine stärkere Authentifizierung notwendig, wie etwa das Zwei-Faktor-Verfahren, bei dem beispielsweise neben dem Passwort zusätzlich eine PIN übermittelt werden muss.

Privilegierte Accounts als Alternative

Eine Alternative bilden risikobasierte Authentifizierungen, die unter anderem den Browsertyp wiedererkennen und standortabhängig arbeiten. Dadurch können sie auch feststellen, dass zeitgleich zwei Anmeldungen von unterschiedlichen Orten erfolgen. Sicherheitsprodukte für risikobasierte Authentifizierung sind außerdem oftmals kostengünstiger, als zum Beispiel Zwei-Faktor-Systeme. Höchste Sicherheit attestieren Fachleute der zertifikatsbasierten Authentifizierungsmethode, etwa mittels Smartcards, wie sie häufig bei Hausausweisen Verwendung finden.

Eine Besonderheit bilden Funktions-Accounts, die zumeist für Administrationszwecke eingesetzt werden und die über zusätzliche Privilegien verfügen. Häufig sind diese schlechter gesichert als Nutzerkonten, dabei können sie erheblich größeren Schaden verursachen, weil sie wesentlich mehr Rechte besitzen. Auch sie müssen im Zugriffskonzept berücksichtigt werden. Zahlreiche Anbieter haben dafür Lösungen unter den Kürzeln PIM, PAM oder PUM im Angebot, was für Privileged Identity-, Privileged Access- oder Privileged User Management steht.

Ein IAM besitzt einen besonders hohen Stellenwert, wenn ein Unternehmen in der Cloud arbeitet. Die hierbei verwendeten privilegierten Accounts bedürfen besonderer Absicherung.

Verwandte Artikel

"Home of IT Security" noch größer und internationaler

"Home of IT Security" noch größer und internationaler

753 Aussteller[1] (2018: 698) aus 25 Ländern und 15.632 internationale Fachbesucher (14.290) machten das Messezentrum Nürnberg für drei Tage zum Treffpunkt der internationalen IT-Sicherheitsgemeinschaft. In rund 350 Forenbeiträgen und 30...

IDEE gewinnt UP19@it-sa Award

IDEE gewinnt UP19@it-sa Award

Gegen elf Konkurrenten konnte sich IDEE im Pitch um den UP19@it-sa Award durchsetzen. Ein Erfolg war die gestrige Veranstaltung im Messezentrum Nürnberg auch für die anderen Finalisten und die teilnehmenden Investoren und Entscheider aus...

Digitalisierung "Made in Germany": Das BSI auf der it-sa

Digitalisierung "Made in Germany": Das BSI auf der it-sa

Cyber-Sicherheit ist die Voraussetzung einer erfolgreichen Digitalisierung. Wie dies gelingen kann, zeigt die IT-Security Messe "it-sa", die vom 8. bis 10. Oktober 2019 in Nürnberg stattfindet. Das Bundesamt für Sicherheit in der...

: