Problemfeld: Schwachstelle Zugangsdaten

9. August 2021
| Keine Kommentare
Anzeige

Beitrag teilen

Schwachstelle Zugangsdaten: Best Practices für Identitäts- und Zugriffsmanagement. Wenn es um Passwörter geht, bieten Unternehmen durch ihre Online-Präsenz eine breite digitale Angriffsfläche, die Cyberangreifer auf verschiedene Arten durchbrechen können.

Gelingt es ihnen, valide Zugangsdaten eines Accounts zu erbeuten, können sie die gekaperte Identität nutzen, um wertvolle Daten zu entwenden oder in Unternehmensumgebungen weiteren Schaden anrichten. In einer zunehmend von Remote Work geprägten Arbeitsweilt erhält die Sicherheit sowie die Glaubwürdigkeit digitaler Identitäten neue Relevanz. Ähnlich wie physische Identifikationsformen müssen auch digitale zuverlässig vor Missbrauch, Diebstahl und Betrug geschützt werden. Der digitale Fingerabdruck und sämtliche Spuren, die Nutzer und Organisationen im Internet hinterlassen, ist jedoch höchst individuell und überaus vielfältig. Dies macht den Schutz von Identitäten sowie die Sicherung von digitalen Unternehmensassets durch unberechtigten Zugriff höchst komplex.

Anzeige

Zugangsdaten sind stets gefährdet

Für Unternehmen, die große Mengen an Kundendaten sammeln und speichern, sind Datensicherheit und Markenreputation eng miteinander verbunden. Ein vertrauensvoller Umgang ist ein wesentlicher Bestandteil von Geschäftsbeziehungen. Diese Eigenschaft wird auch im digitalen Kontext durch datenschutzrechtliche Regularien gestärkt. Die Datenschutzgrundverordnung (DSGVO) setzt Unternehmen einen engen Rahmen für den Umgang mit personenbezogenen Daten und schützt die Rechte von Privatpersonen mit Auskunfts- und Benachrichtigungspflichten für die verarbeitenden Unternehmen. Verstöße gegen die Sorgfaltspflicht gegenüber Kundendaten oder der Verlust derselben ist für Unternehmen bußgeldbewehrt. Eine Erfahrung, die die Hotelkette Marriott machen musste: Cyberkriminelle hatten die Accounts zweier Mitarbeiter gehackt und konnten so auf die Konten der Hotelgäste zugreifen. Da dieser Sicherheitsverstoß über Jahre unentdeckt blieb, beläuft sich die Zahl der geschädigten Verbraucher auf über 300 Millionen. Das britische Information Commissioner’s Office (ICO) verhängte dafür ursprünglich eine Strafe von über 110 Millionen Euro, welche auf Grund der umfassenden Kooperationsbereitschaft von Marriott und unter Berücksichtigung anderer Urteile auf 20 Millionen herabgesetzt wurde.

In der Tat ist ein bedeutender Anteil an Hacking-Vorfällen auf verlegte oder gestohlene Zugangsdaten zurückzuführen. Die Strategie, Passwörter in regelmäßigen Abständen zu ändern, zeigt leider meist nur eine begrenzte Wirkung, weil viele Nutzer dasselbe Passwort für mehrere Accounts verwenden. Die Wiederverwendung von Passwörtern ist zu einem häufigen Fehlverhalten geworden, da es sowohl schwierig als auch unbequem ist, sich zahlreiche, komplexe Passwörter zu merken. Allerdings erhöht dies das Schadensrisiko im Fall eines Hacks deutlich.

Anzeige

Jetzt Newsletter abonnieren

Einmal im Monat die besten News von B2B CYBER SECURITY lesen



Mit Klick auf „Anmelden“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden. Weitere Informationen finde ich in unserer Datenschutzerklärung. Nach dem Anmelden erhalten Sie zuerst eine Bestätigungsmail, damit keine anderen Personen Ihnen etwas ungewolltes bestellen können.
Aufklappen für Details zu Ihrer Einwilligung
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung. Sie können jederzeit den Newsletter wieder abbestellen. Einen entsprechenden Link finden Sie im Newsletter. Nach einer Abmeldung werden Ihre Daten in kürzester Zeit gelöscht. Eine Wiederherstellung ist nicht möglich. Falls Sie den Newsletter erneut haben möchten, ordern sie diesen einfach neu. Verfahren Sie auch so, wenn Sie eine andere E-Mail-Adresse für Ihren Newsletter nutzen möchten. Wenn Sie den auf der Website angebotenen Newsletter beziehen möchten, benötigen wir von Ihnen eine E-Mail-Adresse sowie Informationen, welche uns die Überprüfung gestatten, dass Sie der Inhaber der angegebenen E-Mail-Adresse und mit dem Empfang des Newsletters einverstanden sind. Weitere Daten werden nicht bzw. nur auf freiwilliger Basis erhoben. Für die Abwicklung der Newsletter nutzen wir Newsletterdiensteanbieter, die nachfolgend beschrieben werden.

CleverReach

Diese Website nutzt CleverReach für den Versand von Newslettern. Anbieter ist die CleverReach GmbH & Co. KG, Schafjückenweg 2, 26180 Rastede, Deutschland (nachfolgend „CleverReach“). CleverReach ist ein Dienst, mit dem der Newsletterversand organisiert und analysiert werden kann. Die von Ihnen zwecks Newsletterbezug eingegebenen Daten (z. B. E-Mail-Adresse) werden auf den Servern von CleverReach in Deutschland bzw. Irland gespeichert. Unsere mit CleverReach versandten Newsletter ermöglichen uns die Analyse des Verhaltens der Newsletterempfänger. Hierbei kann u. a. analysiert werden, wie viele Empfänger die Newsletternachricht geöffnet haben und wie oft welcher Link im Newsletter angeklickt wurde. Mit Hilfe des sogenannten Conversion-Trackings kann außerdem analysiert werden, ob nach Anklicken des Links im Newsletter eine vorab definierte Aktion (z. B. Kauf eines Produkts auf dieser Website) erfolgt ist. Weitere Informationen zur Datenanalyse durch CleverReach-Newsletter erhalten Sie unter: https://www.cleverreach.com/de/funktionen/reporting-und-tracking/. Die Datenverarbeitung erfolgt auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie können diese Einwilligung jederzeit widerrufen, indem Sie den Newsletter abbestellen. Die Rechtmäßigkeit der bereits erfolgten Datenverarbeitungsvorgänge bleibt vom Widerruf unberührt. Wenn Sie keine Analyse durch CleverReach wollen, müssen Sie den Newsletter abbestellen. Hierfür stellen wir in jeder Newsletternachricht einen entsprechenden Link zur Verfügung. Die von Ihnen zum Zwecke des Newsletter-Bezugs bei uns hinterlegten Daten werden von uns bis zu Ihrer Austragung aus dem Newsletter bei uns bzw. dem Newsletterdiensteanbieter gespeichert und nach der Abbestellung des Newsletters aus der Newsletterverteilerliste gelöscht. Daten, die zu anderen Zwecken bei uns gespeichert wurden, bleiben hiervon unberührt. Nach Ihrer Austragung aus der Newsletterverteilerliste wird Ihre E-Mail-Adresse bei uns bzw. dem Newsletterdiensteanbieter ggf. in einer Blacklist gespeichert, sofern dies zur Verhinderung künftiger Mailings erforderlich ist. Die Daten aus der Blacklist werden nur für diesen Zweck verwendet und nicht mit anderen Daten zusammengeführt. Dies dient sowohl Ihrem Interesse als auch unserem Interesse an der Einhaltung der gesetzlichen Vorgaben beim Versand von Newslettern (berechtigtes Interesse im Sinne des Art. 6 Abs. 1 lit. f DSGVO). Die Speicherung in der Blacklist ist zeitlich nicht befristet. Sie können der Speicherung widersprechen, sofern Ihre Interessen unser berechtigtes Interesse überwiegen. Näheres entnehmen Sie den Datenschutzbestimmungen von CleverReach unter: https://www.cleverreach.com/de/datenschutz/.

Auftragsverarbeitung

Wir haben einen Vertrag über Auftragsverarbeitung (AVV) zur Nutzung des oben genannten Dienstes geschlossen. Hierbei handelt es sich um einen datenschutzrechtlich vorgeschriebenen Vertrag, der gewährleistet, dass dieser die personenbezogenen Daten unserer Websitebesucher nur nach unseren Weisungen und unter Einhaltung der DSGVO verarbeitet.

Identitäts- und Zugriffsmanagement gegen Passwortrisiken

Passwörter stellen stets ein Risiko dar, unabhängig von ihrer Größe, Komplexität oder Einzigartigkeit. Diesem Umstand müssen Unternehmen in ihren IT-Security-Strategien Rechnung tragen. Der Entwicklung, dass Mitarbeiter ihre privaten Passwort-Angewohnheiten auf ihr Arbeitsumfeld übertragen, können sie mit stärkeren Authentifizierungskontrollen entgegenwirken. Um Bedrohungen effizient zu entschärfen und die Datenschutzbestimmungen einzuhalten, muss der Anmeldeprozess durch Identitäts- und Zugriffsmanagement (IAM) sicherer gestaltet werden. Dieses sollte folgende Elemente aufweisen:

Aktivierung von Multi-Faktor-Authentifizierung (MFA) und Single Sign-On (SSO)

Diese Funktionen helfen, das Risiko einer Account-Kompromittierung zu reduzieren und ermöglichen gleichzeitig ein nahtloses Anmeldeerlebnis für Benutzer. MFA schafft eine zusätzliche Sicherheitsebene, zum Beispiel durch ein SMS-Token, das per Textnachricht gesendet wird, oder durch eine Drittanbieter-App wie Google Authenticator. Ohne eine zweite Form der Authentifizierung wird der Benutzer nicht verifiziert und erhält keinen Zugriff auf das Konto. Durch SSO können Benutzer auf eine Vielzahl von unabhängigen Cloud-Ressourcen zugreifen, indem sie sich bei einem einzigen Portal anmelden. Der Komfort, sich nur ein Passwort merken zu müssen, kann Nutzer damit auf sichere Weise geboten werden. In regelmäßigen Abständen sollte das Passwort gegen ein Neues ersetzt werden, gegebenenfalls durch automatische Aufforderung an die Nutzer.

Kontextermittlung durch Netzwerkaktivitäten

Um festzustellen, ob ein Benutzer wirklich derjenige ist, der er vorgibt, online zu sein, ist es wichtig, dass Unternehmen die Netzwerkaktivitäten und das Verhalten ihrer Mitarbeiter kontinuierlich überwachen, um Anomalien zu erkennen. Wenn sich ein Mitarbeiter beispielsweise montags bis freitags um 9 Uhr von seiner Heim-IP-Adresse aus anmeldet, sich aber plötzlich am Samstagabend um 22 Uhr von einem anderen Standort aus einloggt, würde dieses Verhalten als verdächtig eingestuft werden. Durch eine kontextbasierte, abgestufte Authentifizierung können Unternehmen die Identität von Benutzern je nach Standort, Gerät und täglichen Aktivitäten bestätigen. Dadurch erhalten Unternehmen auch mehr Sicherheit für den Datenzugriff, egal wo er stattfindet.

Bewusstsein schaffen

Trotz geeigneter technischer Lösungen ist eine Sicherheitsstrategie ohne Aufklärung und Sensibilisierung unvollständig. Unternehmen müssen ihren Mitarbeitern nahebringen, welchen Wert auch vermeintlich belanglose Zugangsdaten für Cyberkriminelle haben können, welche Angriffstaktiken sie nutzen und bei welchen Unregelmäßigkeiten Argwohn angebracht ist. Dies erleichtert es Mitarbeitern, ihre Zugangsdaten und digitalen Identitäten – und damit im weiteren Sinne auch die ihrer Kunden – schützen zu können.

Im Unternehmensumfeld können nachlässige Handlungsweisen im Umgang mit digitalen Zugangsdaten unter Umständen schwerwiegende Folgen haben. Mit diesen einfachen technischen Maßnahmen können Unternehmen die damit verbundenen Risiken reduzieren. Gleichzeitig können sie damit den Wunsch ihrer Mitarbeiter nach Praktikabilität respektieren: Sich stets Dutzende komplexer Passwörter zu merken, ist damit nicht erforderlich. Der Schutz sensibler Daten vor unberechtigtem Zugriff bleibt jedoch eine gemeinsame Aufgabe: Unternehmen wie auch ihre Belegschaft sollten über Bedrohungen digitaler Identitäten stets auf dem Laufenden bleiben und ihre Verhaltensweisen gemeinsam entsprechend weiterentwickeln.

Mehr bei Bitglass.com

 

[starbox id=4]

 

Passende Artikel zum Thema

Betrugsmasche: GPT-4 als Köder für Phishing

In der Hoffnung, von dem massiven Interesse an GPT-4 – dem neuen multimodalen Modell von ChatGPT – zu profitieren, haben ➡ Weiterlesen

Studie: Firmendaten im Darknet – 60 Prozent betroffen

Wie eine aktuelle Studie von 26.000 Unternehmen und 80 Branchen zeigt, stehen im Darknet durch Datenlecks viele deutsche Firmendaten zum ➡ Weiterlesen

Angriffe auf die Lieferkette

Schon immer suchten Angreifer das schwächste Glied in der Kette, um eine Abwehr zu durchbrechen. Das hat sich auch in ➡ Weiterlesen

Entwicklung 2022: Cyberkriminalität, Kriege, Ransomware

In seinem Bericht "2023 State of Malware" stellt Security-Experte Malwarebytes die Entwicklungen des Jahres 2022 zusammen: Geopolitische Cyberkriminalität, Ransomware und ➡ Weiterlesen

Top Malware im Q1-2023: Qbot, Formbook, Emotet

Der Global Threat Index für das Frühjahr 2023 von Check Point zeigt, dass die Malwares Qbot, Formbook und Emotet am ➡ Weiterlesen

Plus 8 Prozent: Mehr Geld für IT-Sicherheit in Unternehmen

Kleine und mittelständische sowie Großunternehmen in Deutschland haben beschlossen, in den kommenden drei Jahren einen größeren Teil ihres IT-Budgets in ➡ Weiterlesen

70 Prozent der XIoT-Schwachstellen kritisch oder hoch

Der neue State of XIoT Security Report: 2H 2022 zeigt, dass 71 Prozent der Schwachstellen mit dem CVSS v3-Score „kritisch“ (9,0-10) ➡ Weiterlesen

Security Report 2023: Mehr Stör- und Zerstörungs-Malware

Wie der Security Report 2023 von Check Point zeigt, gibt es eine Zunahme von Cyberangriffen um 38 Prozent und über ➡ Weiterlesen

Storys
, , , ,