DriveLock Blog | IT Sicherheit und Cyber Security

Security Awareness Konzept und Zero Trust - Mehr Cybersicherheit

Geschrieben von DriveLock | Mar 15, 2022 8:30:00 AM

In unserem Beitrag „Security Awareness Programme: IT-Sicherheit fängt beim Benutzer an.“ haben wir aufgezeigt, dass Sensibilisierungsprogramme die Emotion der Benutzer ansprechen müssen, um erfolgreich zu sein. In diesem Beitrag befassen wir uns damit, warum Passwörter ein Sicherheitskonzept zum Scheitern bringen können und wie das Zero Trust Konzept bei der Lösung helfen kann.

INHALT
  1. WARUM WERDEN SICHERHEITSRICHTLINIEN TROTZ SECURITY AWARENESS KONZEPT HINTERGANGEN?
  2. DIE AUTHENTIFIZIERUNG MIT PASSWÖRTERN
  3. VON SINGLE SIGN ON ZUR PASSWORTLOSEN AUTHENTIFIZIERUNG
  4. DIGITALE TRANSFORMATION FÜHRT ZU NEUEN SICHERHEITSANSÄTZEN: ZERO TRUST

Warum werden Sicherheitsrichtlinien trotz Security Awareness Konzept hintergangen?


Trotz noch so durchdachter Security Awareness-Konzepte werden einzelne Mitarbeiter Sicherheitsrichtlinien umgehen, wenn diese ihre Produktivität beeinträchtigen. In vielen Fällen scheitert die Einführung neuer Sicherheitsmaßnahmen nicht deshalb, weil die Belegschaft die Risiken nicht versteht, sondern weil der Prozess, die Technologie oder beides zu umständlich sind. Dies führt dazu, dass die Benutzer nach Möglichkeiten suchen, technische Beschränkungen zu überwinden und bevorzugt ihren eigenen, unsicheren Weg wählen.Im schlimmsten Fall entsteht in der Folge eine Schatten-IT, Mitarbeiter verbringen wertvolle Zeit mit der Suche nach Umgehungslösungen und erhöhen das Risiko, sensible Daten preiszugegeben oder zu verlieren. Security Awareness Kampagnen haben also nur mäßigen Erfolg, wenn die technischen Voraussetzungen und auch die Prozesse nicht gegeben sind.

ERFAHREN SIE MEHR ÜBER UNSER SECURITY AWARENESS TRAINING UND LADEN SIE SICH UNSER GRATIS EBOOKS HERUNTER:



Die Authentifizierung mit Passwörtern


Eines dieser Hindernisse sind Passwörter zur Authentifizierung. Passwörter sind zum Schutz digitaler Ressourcen und Daten immer noch breit im Einsatz. Aber sie sind auch der Grund vieler Cyberangriffe. Laut einer Bitkom Recherche von 2021 waren 18% der Cyberattacken, die Schäden in Unternehmen verursacht haben, Angriffe auf Passwörter. Personen neigen leider dazu, schwache Passwörter zu nutzen, die leicht zu merken sind. Diese "zirkulieren" nach erfolgreichem Angriff in großer Zahl im Dark Web: Die Zahl der gestohlenen Benutzernamen und Passwörter dort ist von 2018 bis 2020 um 300 % gestiegen.
Sobald der Angreifer die Zugangsdaten erbeutet hat, kann er sich unbemerkt durch das Unternehmen bewegen.  

Unternehmen sollten daher andere Faktoren für das Identity & Access Management (IAM) in Betracht ziehen und einen Zero Trust Ansatz für Authentifizierung verfolgen. 

Das Ziel sollte weg vom Passwort zu einer kennwortlosen Authentifizierung führen.

Von Single Sign On zur passwortlosen Authentifizierung


Die erste Verbesserung einer Passwort-zentrierten Authentifizierung kann die Einführung von Single Sign On (SSO) Methoden sein. Diese reduziert die Häufigkeit der Passworteingabe und ebenso die Anzahl der benötigten Passwörter. Die Verlagerung zur Telearbeit (Work from Home) hat viele Unternehmen dazu veranlasst, zumindest eine grundlegende Zwei-Faktor-Authentifizierung (2FA) mit Einmalpasswörtern per SMS einzuführen.

Im nächsten Schritt könnten Unternehmen in Verbindung mit Passwörtern einen weiteren Faktor durchgängig für alle Mitarbeitenden verwenden, insbesondere für privilegierte Benutzer und Systeme beispielweise digitale Zertifikate, (hardware- oder softwarebasierte) Tokens und Zugangskarten. Im Minimum könnte man in diesem Schritt die SMS-basierte 2FA durch eine anwendungsbasierte 2FA ersetzen.

Die Authentifizierung ohne Passwort ist die fortschrittlichste, sicherste und reibungsloseste Stufe der Authentifizierung. Unternehmen verwenden digitale Zertifikate Dritter oder biometrische Faktoren. Andere Faktoren können als zusätzliche Sicherheitsmaßnahme eingesetzt werden, gerade für privilegierte Benutzer und Systeme sollten umfangreichere Authentifizierungsanforderungen gelten.

Digitale Transformation führt zu neuen Sicherheitsansätzen: Zero Trust


Mit der „Consumerization of IT“ (die spätestens mit der Einführung des iPhone 2007 begann) und der Tatsache, dass die digitale Transformation Unternehmen immer durchlässiger werden lässt, hat sich die IT-Landschaft verändert. Die IT musste Kompetenzen abgeben: User wollen die Freiheit, sich selbst zu managen. Wir arbeiten von überall aus, und entlang der gesamten Wertschöpfungskette interagieren Beteiligte miteinander.Aber wenn Unternehmen die digitale Transformation unter Berücksichtigung der dafür notwendigen IT-Sicherheit erfolgreich vollziehen möchten, dann müssen sie die einzelnen Menschen mitnehmen.

Das Zero Trust (ZT)-Framework von Forrester beschreibt eine moderne Sicherheitsarchitektur für Unternehmen. Es bedeutet die Abkehr vom herkömmlichen, perimeterbasierten Sicherheitsansatz hin zu einem datengesteuerten und identitätsbewussten Sicherheitsmodell. Zero Trust verbessert nicht nur die Sicherheit, sondern hat einen versteckten Hebel zur Verbesserung des sogenannten Mitarbeitererlebnisses bzw. Employee Experience (EX). Denn Sicherheit und Produktivität sind grundlegende Notwendigkeiten für moderne Unternehmen.Was steigert die Employee Experience?

Schützen Sie zuallererst die Daten. Wenden Sie das Prinzip des "Least Privilege Access (Prinzip der minimalen Privilegien) an. Benutzer sollen nicht mehr Zugriff haben, als sie benötigen.Erlauben Sie den Mitarbeitern, so zu arbeiten, wie sie wollen und wo sie wollen. Zero Trust ermöglicht, von überall und mit jedem Gerät zu arbeiten - solange sie sich ordnungsgemäß auf einem konformen Gerät und in einer konformen App authentifizieren.Bieten Sie Mitarbeitern Auswahlmöglichkeiten bei der Technologie, indem Sie Zero Trust als Prinzip einsetzen, um Benutzer, Geräte und Anwendungen vor dem Zugriff zu überprüfen.

Mitarbeiter, die dies können (z.B. Bring your own Device-Option), verfügen über einen höheren EX-Wert als solche, die dies nicht können.Mitarbeiter in einem ganzheitlichen Zero Trust-Modell starten keine VPN-Clients, müssen sich keine Passwörter merken und müssen sich keine Sorgen machen, an Dateien mit sensiblen, nicht für sie bestimmten Informationen zu kommen. Zero Trust löst diese Probleme, indem es die Benutzer direkt bei den Anwendungen authentifiziert, passwortlose Methoden einsetzt und Zugriffsrichtlinien nach dem Prinzip der minimalen Privilegien erstellt.

Fazit:
Konzentrieren Sie sich weiterhin auf die Steigerung der Security Awareness, auf die Veränderung des Verhaltens und der Kultur. Dadurch, dass Zero Trust Ihren Mitarbeitern das Arbeiten erleichtert, wird es für sie einfacher, Sicherheit in ihr tägliches Leben zu integrieren, wodurch sich wiederum Ihre gesamtheitliche Sicherheitslage und -kultur verbessert.