Was mit NIS2 auf Sie zukommt
Haben Sie mehr als 50 Mitarbeiter oder mehr als 10 Mio. Euro Umsatz? Oder werden von staatlicher Seite als kritische Einrichtung eingestuft? Dann...
In unserem Beitrag „Security Awareness Programme: IT-Sicherheit fängt beim Benutzer an.“ haben wir aufgezeigt, dass Sensibilisierungsprogramme die Emotion der Benutzer ansprechen müssen, um erfolgreich zu sein. In diesem Beitrag befassen wir uns damit, warum Passwörter ein Sicherheitskonzept zum Scheitern bringen können und wie das Zero Trust Konzept bei der Lösung helfen kann.
INHALT |
Trotz noch so durchdachter Security Awareness-Konzepte werden einzelne Mitarbeiter Sicherheitsrichtlinien umgehen, wenn diese ihre Produktivität beeinträchtigen. In vielen Fällen scheitert die Einführung neuer Sicherheitsmaßnahmen nicht deshalb, weil die Belegschaft die Risiken nicht versteht, sondern weil der Prozess, die Technologie oder beides zu umständlich sind. Dies führt dazu, dass die Benutzer nach Möglichkeiten suchen, technische Beschränkungen zu überwinden und bevorzugt ihren eigenen, unsicheren Weg wählen.
Im schlimmsten Fall entsteht in der Folge eine Schatten-IT, Mitarbeiter verbringen wertvolle Zeit mit der Suche nach Umgehungslösungen und erhöhen das Risiko, sensible Daten preiszugegeben oder zu verlieren.
Security Awareness Kampagnen haben also nur mäßigen Erfolg, wenn die technischen Voraussetzungen und auch die Prozesse nicht gegeben sind.
Die erste Verbesserung einer Passwort-zentrierten Authentifizierung kann die Einführung von Single Sign On (SSO) Methoden sein. Diese reduziert die Häufigkeit der Passworteingabe und ebenso die Anzahl der benötigten Passwörter. Die Verlagerung zur Telearbeit (Work from Home) hat viele Unternehmen dazu veranlasst, zumindest eine grundlegende Zwei-Faktor-Authentifizierung (2FA) mit Einmalpasswörtern per SMS einzuführen.
Im nächsten Schritt könnten Unternehmen in Verbindung mit Passwörtern einen weiteren Faktor durchgängig für alle Mitarbeitenden verwenden, insbesondere für privilegierte Benutzer und Systeme beispielweise digitale Zertifikate, (hardware- oder softwarebasierte) Tokens und Zugangskarten. Im Minimum könnte man in diesem Schritt die SMS-basierte 2FA durch eine anwendungsbasierte 2FA ersetzen.
Die Authentifizierung ohne Passwort ist die fortschrittlichste, sicherste und reibungsloseste Stufe der Authentifizierung. Unternehmen verwenden digitale Zertifikate Dritter oder biometrische Faktoren. Andere Faktoren können als zusätzliche Sicherheitsmaßnahme eingesetzt werden, gerade für privilegierte Benutzer und Systeme sollten umfangreichere Authentifizierungsanforderungen gelten.
Mit der „Consumerization of IT“ (die spätestens mit der Einführung des iPhone 2007 begann) und der Tatsache, dass die digitale Transformation Unternehmen immer durchlässiger werden lässt, hat sich die IT-Landschaft verändert. Die IT musste Kompetenzen abgeben: User wollen die Freiheit, sich selbst zu managen. Wir arbeiten von überall aus, und entlang der gesamten Wertschöpfungskette interagieren Beteiligte miteinander.
Aber wenn Unternehmen die digitale Transformation unter Berücksichtigung der dafür notwendigen IT-Sicherheit erfolgreich vollziehen möchten, dann müssen sie die einzelnen Menschen mitnehmen.
Das Zero Trust (ZT)-Framework von Forrester beschreibt eine moderne Sicherheitsarchitektur für Unternehmen. Es bedeutet die Abkehr vom herkömmlichen, perimeterbasierten Sicherheitsansatz hin zu einem datengesteuerten und identitätsbewussten Sicherheitsmodell. Zero Trust verbessert nicht nur die Sicherheit, sondern hat einen versteckten Hebel zur Verbesserung des sogenannten Mitarbeitererlebnisses bzw. Employee Experience (EX). Denn Sicherheit und Produktivität sind grundlegende Notwendigkeiten für moderne Unternehmen.
Was steigert die Employee Experience?
Haben Sie mehr als 50 Mitarbeiter oder mehr als 10 Mio. Euro Umsatz? Oder werden von staatlicher Seite als kritische Einrichtung eingestuft? Dann...
In der heutigen zunehmend vernetzten Welt, in der Cyberbedrohungen unaufhörlich fortschreiten, ist eine robuste Netzwerksicherheit von entscheidender...
Ein effizientes Identitäts- und Zugriffsmanagement ist für moderne Organisationen von entscheidender Bedeutung, um sowohl die Sicherheit als auch die...