Die Impfungen gegen das Coronavirus laufen – mit dem Ziel, Covid-19 einzudämmen und wieder zur Normalität zurückzukehren.
Auch wenn die Impfungen mancherorts nur schleppend vorankommen, treffen etliche Firmen bereits Vorbereitungen für die Rückkehr ihrer Mitarbeiter in die Büros. Die Umfragewerte zeigen, dass die weitaus meisten Beschäftigten nicht unbedingt zum Vor-Corona-Arbeitsalltag zurückkehren wollen, sondern eine hybride Arbeitsorganisation bevorzugen. Deshalb und nicht zuletzt wegen des getätigten Investments in eine angepasste IT-Infrastruktur erscheint ein völliger Rückbau unwahrscheinlich. Mitarbeiter haben so die Option, sich jederzeit und von jedem beliebigen Ort aus einzuloggen. Vorteilhaft für die Produktivität, aber nicht unbedingt für die Sicherheit, denn dadurch verbreitert sich die Angriffsfläche ein weiteres Mal und eine Vielzahl neuer Schwachstellen entsteht. Und zu den wichtigsten Werkzeugen Cyber-Krimineller gehören gestohlene Identitäten und Kontodaten. Angesichts dessen ist es für Unternehmen an der Zeit, ihre Richtlinien für privilegierte Zugriffsberechtigungen zu überdenken und strategische Bemühungen in diese Richtung zu intensivieren.
Das Problem übermäßiger Zugriffsberechtigungen
Mehr Mitarbeiter mit Zugriff auf Anmeldeinformationen zu privilegierten Konten sind gleichbedeutend mit einem höheren Risiko, dass es Cyberkriminellen gelingt, ein Unternehmensnetz zu infiltrieren. Gerade im letzten Jahr haben wir erneut massive Datensicherheitsvorfälle beobachten können, die auf den Diebstahl oder Missbrauch von Anmeldeinformationen zurückgeführt werden konnten. Vom Twitter Phishing-Scam bis zum SolarWinds-Angriff – Hacker wissen, dass privilegierte Anmeldeinformationen ihnen einen vergleichsweise einfachen Zugriff auf Unternehmensdaten von innen heraus erlauben.
Wenn Firmen jetzt auf hybride Arbeitsmodelle umsteigen, sollten sie sehr genau prüfen, welchen Mitarbeitern während des Umstiegs auf Homeoffice bereits erweiterte oder zusätzliche Zugriffsrechte gewährt wurden. Es gilt sorgfältig zu bewerten und zu dokumentieren, wer aktuell über privilegierte Rechte verfügt, um potenzielle Risiken zu minimieren. Mitarbeiter benötigen ein gewisses Maß an privilegierten Anmeldeinformationen, um ihren Job zu erledigen. In den meisten Fällen gewähren Unternehmen jedoch zu viele Zugriffsberechtigungen über einen zu langen Zeitraum. Tatsächlich bestätigt das auch ein aktueller Bericht. Demnach greift annähernd die Hälfte der privilegierten Benutzer aus reiner Neugierde auf sensible und vertrauliche Daten zu. Daten, die sie überhaupt nicht benötigen. Was die Sache noch schlimmer macht: Fast dieselbe Anzahl von Befragten wird gedrängt, ihre Zugriffsberechtigungen innerhalb des Unternehmens an Dritte weiterzugeben. Erhalten Anwender mehr Zugriffsberechtigungen als für ihre Arbeit notwendig, schafft das Unternehmen zusätzliche Möglichkeiten für den Zugriff durch einen Hacker.
Es gibt eine Reihe von Best Practices, die Unternehmen deshalb im Sinne einer identitätszentrierten Sicherheit beherzigen sollten:
1. Schulen Sie Ihre Mitarbeiter im Umgang mit starken Passwörtern
Sicherheitsverantwortliche sollten großen Wert darauf legen, Anmeldeinformationen zu schützen. Passwörter haben immer noch eine grundsätzliche Bedeutung in der Datensicherheit. Eine starke Passwortsicherheit ist essentiell, will man verhindern, dass Hacker problemlos auf Mitarbeiterkonten zugreifen. Unternehmen sollten in Schulungen zu den wichtigsten Regeln der Passwortsicherheit investieren und Mitarbeiter anhalten, eindeutige, komplexe und ausreichend lange Passwörter für jedes System zu generieren. Darüber sollten Sie sicherzustellen, dass Passwörter für Firmenkonten nicht mit denen für private Konten identisch sind. Zusätzlich kann man Authentifizierungs-Apps einsetzen.
2. Multi-Faktor- Authentifizierung
Multi-Faktor-Authentifizierung (MFA) geht mit starker Passwortsicherheit Hand in Hand. MFA sollte, wie es an vielen Stellen bereits der Fall ist, zur Mindestanforderung werden. MFA schützt Konten und Personen über unterschiedliche Methoden – von PINs über physische Schlüssel bis hin zur biometrischen Verifizierung. Selbst wenn ein Passwort kompromittiert wird, schützt die MFA Unternehmensdaten und verhindert, dass Cyberkriminelle unbefugt auf Informationen zugreifen. Diese zusätzliche Sicherheitsebene senkt die Wahrscheinlichkeit, dass ein Hacker problemlos ins Netzwerk spaziert.
3. Zero Trust & Least Privilege Framework
Zero Trust ist ein bewährtes Modell, das Schwachstellen (d.h. unnötige und übermäßig vergebene Zugriffsberechtigungen) durch die Delegierung spezifischer, granulierter Rechte eliminiert. Der Name „Zero Trust“ sagt es bereits. Aber er bedeutet tatsächlich, dass Unternehmen niemandem vertrauen sollten. Wer Zero Trust umsetzen will, kommt um ein Least-Privilege-Framework als Kern dieses Modells nicht herum. Nach dem Prinzip der minimalen Rechtevergabe erhalten Mitarbeiter nur genau die Berechtigungen, die sie brauchen, um täglich anfallende Aufgaben zu erledigen. Das gilt insbesondere für denjenigen, die erweiterte Berechtigungen brauchen. Solche Berechtigungen sollten ausschließlich zeitlich begrenzt vergeben werden und nicht mehr und nicht weniger als das Notwendige erlauben.
4. Identitätszentrierte Sicherheit
Wenn Unternehmen auf ein Hybridmodell umsteigen, verlagern sie oftmals Prozesse und Operationen in die Cloud. Es ist nicht ganz einfach dabei sämtliche lokal angewendeten Sicherheitsmaßnahmen während der Umstellung zu duplizieren. Wenn allerdings Identitäten in den Mittelpunkt dieser Strategie gestellt werden, kommen Unternehmen dem Zero Trust Ansatz deutlich näher. Um eine identitätszentrierte Strategie aufzubauen, sollten Sicherheitsverantwortliche sich auf ein im gesamten Unternehmen einheitliches Modell konzentrieren, dass diese Identitäten standardisiert. Dabei gilt es nicht nur einen sicheren Zugriff auf die digitale Identität der Benutzer, sondern auch auf alle Anwendungen und Daten zu gewährleisten. Deshalb sollte man Softwarelösungen den Vorzug geben, mit denen man nicht autorisierte Zugriffe schnell erkennt und Berechtigungen bei Bedarf sofort widerrufen kann.
Während Unternehmen sich nach Covid-19 auf die Zukunft der Arbeit vorbereiten – von reinen Homeoffice- Arbeitsplätzen hin zu hybriden Modellen – ist es Sache der Sicherheitsfachleute jetzt neu zu bewerten, welche Benutzer privilegierten Zugriff haben sollten und auf jeden Fall für wie lange. Ein Sicherheitsansatz, der von Identitäten ausgeht, unterstützt Unternehmen dabei, eine Zero-Trust- und Least-Privilege-Architektur umzusetzen. Und diese dient langfristig dazu, Daten und Mitarbeiter umfassend zu schützen.
Bhagwat Swaroop, President und General Manager bei One Identity https://www.oneidentity.com/de-de