Enterprise Password Management als zentraler Enabler der IT-Sicherheitsarchitektur
Die Methoden der Hacker entwickeln sich so schnell, dass nur eine ausgereifte, stets aktualisierte IT-Sicherheitsarchitektur in der Lage ist, unberechtigte Zugriffe auf unternehmenseigene IT-Umgebungen effizient zu verhindern.
Cyberkriminelle finden immer neue, spezialisiertere und professionellere Wege, um sich Zugang zur IT-Infrastruktur zu verschaffen. Zu den wichtigsten gehören DoS (Denial-of Service) bzw. DDoS (Distributed -Denial-of-Service), also die Überlastung von Netzwerken oder Websites mithilfe zahlloser, automatisiert erstellter Anfragen.
Aber auch als „Man-in-the-Middle“ können sich Hacker in eine laufende Kommunikation mit einem Nutzer einschleichen, sensible Daten lesen und diese sogar manipulieren. So haben neue IoT-Technologien dafür gesorgt, dass immer mehr Kanäle für die Manipulation der Kommunikation zur Verfügung stehen.
Einfallstore für Hacker
Mithilfe von „Phishing” lassen sich die schwächsten Glieder einer IT-Struktur angreifen, nämlich die Mitarbeitenden selbst. Über gefälschte Kennungen oder authentisch wirkende, personalisierte E-Mails gelingt es immer noch zu oft, den Empfänger zum Anklicken eines Anhangs zu bewegen, wodurch unbemerkt ein schädlicher Code ins System geschleust wird.
Beim „Drive-by-Download“ erlangen Hacker Zugriff auf interne Daten, indem Nutzer unbewusst eine Software auf ihren Rechner herunterladen. Dabei werden Sicherheitslücken des Betriebssystems oder des Browsers von Hackern ausgenutzt. Klickt ein Nutzer auf eine mit Schadprogrammen verseuchte Website, z. B. auf der Suche nach neuen Rohstoff-Bezugsquellen für seine Produktion, startet im Hintergrund die Malware und lädt sich auf den Unternehmensrechner.
Zusammengefasst gibt es viele Wege und Möglichkeiten, wie Malware ins unternehmensinterne Netz gelangen kann. Ein „Passwort1234“ im Unternehmen reicht aus, um Hackern die Tür zu internen Daten zu öffnen. Demnach bestimmt das schwächste Passwort im Unternehmen, (wahrscheinlich auch in Ihrem Unternehmen „1234567“), wie effizient das Unternehmen gegen Hackerangriffe geschützt ist.
IT-Security ist für jede Branche essenziell
Gerade der deutsche Wirtschaftszweig lockt mit „Made in Germany“ nicht nur Kunden aus aller Welt an, sondern auch Cyberkriminelle. Firmen jeder Größe sollten deshalb ihre IT schützen und über eine effiziente individuell angepasste IT-Security verfügen.
Eines der wichtigsten Abwehrmaßnahmen gegen Cyberattacken sind starke und einzigartige Passwörter. Dabei reicht es jedoch nicht aus, anspruchsvolle Passwortrichtlinien im Unternehmen zu verkünden. Wenn sich Mitarbeitende mit ihrer Passwortverwaltung überlastet fühlen, werden Passwörter im Browser gespeichert, in lokalen Excel-Dateien notiert oder auf dem Post-it am Bildschirm befestigt. Die sichersten Richtlinien bringen also nichts, wenn sie vom Mitarbeitenden nicht angewendet werden.
Mit Technologie zu mehr Sicherheit und Entlastung
Um die IT abzusichern und gleichzeitig den Mitarbeitenden von seinem Passwort-Stress zu befreien, bietet sich ein Enterprise Password Manager an. Dieser kann gleichermaßen von der IT für die Etablierung starker Richtlinien verwendet werden, sowie von allen anderen Mitarbeitenden, mit viel oder wenig IT-Erfahrung. Ebenso können Password Manager im gewissen Umfang vor den oben genannten Hackerangriffen schützen. Beispielsweise kann ein Passwort nicht über Social Engineering Attacken gehackt werden, wenn es ausschließlich verschlüsselt dargestellt wird und nie im Klartext ersichtlich ist.
Dies führt nicht nur zu mehr Sicherheit. Auch Passwort-Entlastung und Zeiteffizienz sind ersichtliche Vorteile im Unternehmen. Mitarbeitende müssen sich nur noch ein Passwort merken, den Rest übernimmt die Software für sie: Automatisch eingeloggt werden, komplexe Passwörter auf Knopfdruck und diese sicher und geheim im Team zu teilen, ohne die Schlüsselwörter überhaupt zu kennen.
Mitarbeitende werden nach ihrer Rolle auf den Zugriff von Passwörtern berechtigt. So kann jeder Angestellte nur die Passwörter sehen und nutzen, die er benötigt. Falls sich die Position innerhalb des Unternehmens sich ändert oder die Zusammenarbeit beendet wird, ist automatisch der Zugriff auf die Passwörter gesperrt.
Die Funktionalität für die Belegschaft sollte auch betrachtet werden. Sind Passwörter online und offline verfügbar, wird auch dezentrales Arbeiten ermöglicht. Weiterhin können eine Abtipphilfe sowie das Generieren phonetischer Passwörter den Usern von Passwort Managern die Nutzung vereinfachen. Diese sind simpel abzulesen und auszusprechen, gleichzeitig erfüllen sie die Komplexitätsanforderungen von sicheren Passwörtern. Auch das Protokollieren, Auslesen und Auswerten von Login Daten ist eine wichtige Funktion zur Erhöhung der Sicherheit aus Sicht der IT und sollte nachvollziehbar sein und somit DSGVO-konform.
Allgemein gilt: um Cyberattacken erfolgreich abzuwehren, muss im Vorhinein die IT-Sicherheit des Unternehmens gewährleistet und priorisiert werden.
*Der Autor Sascha Martens, Cyber Security Evangelist und CTO von MATESO.