Hacker glauben, dass weder Nutzerkonten noch Passwörter vor ihnen sicher sind. Sie geben aber zu, dass ihnen diese fünf Sicherheitsmaßnahmen das kriminelle Leben sehr viel schwerer machen. [...]
Doch damit nicht genug: Viele Firmen verlassen sich auf manuell bedienbare Systeme wie beispielsweise Tabellenkalkulationen, wenn es um die Verwaltung von Passwörtern zu privilegierten Accounts geht. Das ist nicht nur ineffizient, sondern auch gefährlich, weil diese Programme leicht gehackt werden können. Besser sei es laut Thycotic, auf spezialisierte Privileged-Account-Management-Software zu setzen, die privilegierte Passwörter abspeichert, ihre Änderungen automatisiert und sämtliche Login-Vorgänge überwacht.
DAS SECURITY-AWARENESS-TRAINING AUSBAUEN
Die meisten Sicherheits-Experten sind der Meinung, dass die Menschen das schwächste Glied in der Security-Kette eines Unternehmens sind. „Je mehr ausgefeilte Social-Engineering- und Phishing-Angriffe stattfinden, desto wichtiger ist es, dass Unternehmen ihre IT-Security-Awareness-Programme ausbauen. Sie sollten mehr sein als einfach Online-Fragebögen oder die Unterschrift unter die geltenden Policies“, schreibt Thycotic. Gerade die steigende Verbreitung mobiler Geräte sollte mit einem Mitarbeitertraining für sicherheitsbewusstes Verhalten einhergehen.
Steve Durbin, Managing Director des Information Security Forum (ISF) meint sogar, dass Awareness-Programme Mitarbeiter vom schwächsten Glied zur ersten Reihe der Verteidigungsstrategie verwandeln kann: „Das Problem ist vielleicht eher der Prozess oder das IT-System, für das die die Mitarbeiter geschult werden sollen. Häufig ist das Ganze zu kompliziert, sodass auch keine Awareness entstehen kann. Fragen Sie sich daher selbst: Wenn wir komplett neu beginnen würden, wie würden wir die IT-Security dann einbauen, damit sich die Mitarbeiter besser damit zurechtfinden?
„An dieser Stelle muss erwähnt werden, dass die befragten White Hats größere Befürworter von Security-Awareness-Trainings sind als die kriminellen Black Hats. „Interessanterweise haben sowohl gute als auch kriminelle Hacker alle aufgeführten Security-Maßnahmen als wichtig erachtet – mit einer Ausnahme: Black Hats glauben nicht so stark an Mitarbeiter-Trainings“, resümiert Carson. Das könnte damit zusammenhängen, dass Black Hats die Menschen tendenziell als unvorhersehbarer und damit schwächer in Bezug auf ihr Security-Verhalten einschätzen als technische Lösungen.
Mehr zum Thema Security: IIR Forum IT: „Crime-as-a-Service“ stark im Kommen
DIE ZAHL UNBEKANNTER ANWENDUNGEN EINSCHRÄNKEN
Sie können nicht etwas schützen, von dessen Existenz Sie nichts wissen. Sie müssen wissen, welche Anwendungen in Ihrem Netzwerk laufen dürfen und sicherstellen, dass deren Passwörter geschützt sind. „Die Zugänge zu Anwendungen müssen inventarisiert werden und mit strengen Richtlinien für Passwortstärke, Zugriffsrechte und Passwortwechsel versehen werden“, steht dazu im Thycotic-Bericht. Ein zentralisiertes Management und Reporting dieser Accounts sei essenziell, um kritische Assets schützen zu können.
NUTZER-PASSWÖRTER DURCH BEST PRACTICES SCHÜTZEN
Zu guter Letzt geht es nicht nur um die privilegierten Zugänge, die es Angreifern ermöglichen, kritische Daten abzugreifen. Auch die Accounts der „normalen“ Endbenutzer sind ein Einfallstor – mehr als drei Viertel der auf der Black Hat befragten Hacker gehen davon aus, dass kein Passwort sicher ist.
„Die Passwörter der Nutzer zu schützen, ist für die befragten Hacker von allen abgefragten Security-Maßnahmen die unbedeutendste. Für viele ist das aber auch eine gute Nachricht – denn bevor Unmengen an Energie darin gesteckt wird, dass die Mitarbeiter ihr Verhalten ändern und regelmäßig ihre Passwörter wechseln, können Unternehmen besser in die Anpassung ihrer Prozesse investieren“, meint Carson.
Wer dennoch die Passwörter der Endbenutzer absichern möchte, sollte das Ganze so automatisiert wie möglich ablaufen lassen – die Passwortstärke, das Zurücksetzen und die regelmäßige Änderung des Passworts sollten durch eine Security-Policy gesteuert und so einfach wie möglich gestaltet werden, ohne das immer sofort der IT-Helpdesk einspringen muss.
*Thor Olavsrud, ist Senior Writer bei CIO.com und Simon Hülsbömer, ist leitender Redakteur der Computerwoche.de
Be the first to comment