Wenn Passwörter in die falschen Hände geraten

it-sa 2019

NürnbergMesse

NuernbergMesse / Thomas Geiger

Ein schwaches Passwort kann viel Ärger bereiten, wenn es in die falschen Hände gerät. Zugriffs- und Berechtigungskonzepte können davor schützen, müssen jedoch unternehmensweite Gültigkeit besitzen.

Ohne Sicherheitsstrategie mangelt es an Konzepten zur Absicherung unternehmenskritischer Daten. Durch mangelhaften Zugriffsschutz entstehen dann schnell Sicherheitsprobleme. Der Missbrauch von Passwörtern gehört nach wie vor zu den Hauptursachen für Datendiebstähle und Rechnereinbrüche. 

Die Folge sind nicht nur materielle Schäden und Image-Verlust, auch juristische Konsequenzen drohen. Verantwortliche sollten daher ein unternehmensweites Konzept entwickeln, wie sensible Informationen geschützt werden. Die Basis bildet ein Zugriffs- und Berechtigungskonzept, wozu auch die Absicherung der Zugangsdaten durch ein Identity- und Access-Management (IAM) gehört.

Risiko Mitarbeiter

Vorhandene Zugriffskonzepte sind häufig veraltet, basieren also beispielsweise nur auf Passwörtern. Existiert ein sinnvolles Berechtigungskonzept, mag das noch angehen. Denn damit wird geregelt, welche Dateien und Informationen besonderen Schutz bedürfen und wer darauf überhaupt zugreifen darf. Für besonders sensible Informationen wird der Kreis der Berechtigten entsprechend eingeschränkt und Instruktionen für sichere Passwörter erlassen. Sollte ein Mitarbeiter ohne besondere Zugriffsberechtigungen ein zu einfaches Passwort gewählt haben oder dieses in falsche Hände geraten, ist der Schaden durch das Berechtigungskonzept zunächst beschränkt, weil auf sensible Informationen kein Zugriff besteht.

Accounts mit Zugriff zu sensiblen Informationen benötigen aber immer strenge Schutzkonzepte.

Existiert hingegen kein ausgefeiltes Berechtigungskonzept, haben eventuell Mitarbeiter Zugriff auf sensible Daten, die diesen Zugriff gar nicht benötigen. Das stellt ein erhebliches Risiko da, weil vielen Mitarbeitern das nötige Sicherheitsverständnis fehlt, sie nicht hinreichend geschult sind oder ihnen gar nicht bewusst ist, welcher Schaden mit ihren Zugriffsrechten angerichtet werden kann. Hier lauern ungeahnte Gefahren.

Deshalb sind Sicherheitsstrategien mit Zugriffskonzepten dringend erforderlich. Die verwendeten Authentifizierungsverfahren sollten jedoch zu den geschützten Informationen und Daten passen. In vielen Bereichen ist ein reines Passwort nicht mehr ausreichend, sondern eine stärkere Authentifizierung notwendig, wie etwa das Zwei-Faktor-Verfahren, bei dem beispielsweise neben dem Passwort zusätzlich eine PIN übermittelt werden muss.

Privilegierte Accounts als Alternative

Eine Alternative bilden risikobasierte Authentifizierungen, die unter anderem den Browsertyp wiedererkennen und standortabhängig arbeiten. Dadurch können sie auch feststellen, dass zeitgleich zwei Anmeldungen von unterschiedlichen Orten erfolgen. Sicherheitsprodukte für risikobasierte Authentifizierung sind außerdem oftmals kostengünstiger, als zum Beispiel Zwei-Faktor-Systeme. Höchste Sicherheit attestieren Fachleute der zertifikatsbasierten Authentifizierungsmethode, etwa mittels Smartcards, wie sie häufig bei Hausausweisen Verwendung finden.

Eine Besonderheit bilden Funktions-Accounts, die zumeist für Administrationszwecke eingesetzt werden und die über zusätzliche Privilegien verfügen. Häufig sind diese schlechter gesichert als Nutzerkonten, dabei können sie erheblich größeren Schaden verursachen, weil sie wesentlich mehr Rechte besitzen. Auch sie müssen im Zugriffskonzept berücksichtigt werden. Zahlreiche Anbieter haben dafür Lösungen unter den Kürzeln PIM, PAM oder PUM im Angebot, was für Privileged Identity-, Privileged Access- oder Privileged User Management steht.

Ein IAM besitzt einen besonders hohen Stellenwert, wenn ein Unternehmen in der Cloud arbeitet. Die hierbei verwendeten privilegierten Accounts bedürfen besonderer Absicherung.

Verwandte Artikel

Rohde & Schwarz Cybersecurity auf der it-sa 2023: Komplettlösung für ultramobiles Arbeiten mit sensiblen Daten auf iPhones für die veränderte Arbeitswelt

Rohde & Schwarz Cybersecurity auf der it-sa 2023: Komplettlösung für ultramobiles Arbeiten mit sensiblen Daten auf iPhones für die veränderte Arbeitswelt

Mit innovativen Weiterentwicklungen seiner Netzwerk- und Security-Lösungen präsentiert sich der Rohde & Schwarz Geschäftsbereich Networks & Cybersecurity.

Wenn Unternehmensdaten unbemerkt in die Cloud wandern

Wenn Unternehmensdaten unbemerkt in die Cloud wandern

Durch Lockdown und Homeoffice boomt der Cloud-Sektor, doch nicht jeder Cloud-Dienst steht im Einklang mit den Unternehmensrichtlinien. Zahlreiche Probleme sind die Folge.

"Home of IT Security" noch größer und internationaler

"Home of IT Security" noch größer und internationaler

753 Aussteller[1] (2018: 698) aus 25 Ländern und 15.632 internationale Fachbesucher (14.290) machten das Messezentrum Nürnberg für drei Tage zum Treffpunkt der internationalen IT-Sicherheitsgemeinschaft. In rund 350 Forenbeiträgen und 30...

:

Photo

Entwickung Cybercrime 2023/2024

Die Bedrohung im Cyberraum ist so hoch wie noch nie. Aber es gibt auch wirksame Präventionsmöglichkeiten und hervorragende Bekämpfungserfolge. All das lässt sich an der aktuellen Entwicklung in…