Anzeige

Zugriffskontrolle

Eine neue globale Studie von One Identity offenbart, dass bei Organisationen rund um den Globus Defizite beim Verwalten der Zugriffsberechtigungen von Third-Party-Nutzern existieren. Dadurch entstehen signifikante Schwachstellen.

Die von Dimensional Research mit über 1.000 IT-Sicherheitsfachkräften durchgeführte Studie, beschäftigt sich mit der Herangehensweise von Unternehmen an Identity and Access Management (IAM) und Privileged Access Management (PAM) einschließlich von Third-Party-Nutzern. Dazu zählen Hersteller, Partner und Vertragsnehmer sowie befristet eingestelltes Personal. Eines der wichtigsten Ergebnisse ist die Tatsache, dass 94 % aller Organisationen externen Benutzern Zugriff auf das Netzwerk gewähren.

61 % mussten sogar einräumen, dass sie sich nicht sicher sind, ob diese Nutzer unbefugt versucht haben auf Dateien und Daten zuzugreifen, und ob sie dabei vielleicht sogar erfolgreich waren.

Laut der Analysten von Gartner setzt die Mehrzahl aller Organisationen in steigenden Maße – verglichen mit den Werten von vor drei Jahren - auf geschäftliche Dienstleistungsangebote Dritter. Damit steigt auch die Zahl der Benutzer, die auf ein Netzwerk zugreifen. Das wiederum vergrößert die Angriffsfläche für Cyberattacken. Es ist immens wichtig, dass diese Benutzer genauso überwacht und der Zugriff in derselben Art und Weise verwaltet wird, wie das bei internen Nutzern der Fall ist. Trotzdem hat die Studie ergeben, dass viele Organisationen es nicht geschafft haben, starke Benutzer-Governance und Zugriffspraktiken umzusetzen. Das macht Unternehmen anfällig für Cyberbedrohungen.

Zu den wichtigsten Resultaten der Umfrage zählen:

Der Zugriff von Third-Party-Nutzern ist in Unternehmensnetzen allgegenwärtig. Was die Benutzer allerdings genau mit denen ihnen zugewiesenen Rechten tun, ist zahlreichen Unternehmen in beunruhigender Weise unklar.

  • 94 % der Befragten geben an, dass Dritte auf ihr Netzwerk zugreifen können; 72 % geben externen Dritten sogar erweiterte/privilegierte Zugriffsrechte (administrative oder Superuser Rechte).
  • Nur 22 % der Befragten können mit Sicherheit sagen, das Third-Party-Nutzer nicht unautorisiert versucht haben auf Informationen zuzugreifen oder dabei gar erfolgreich waren.
  • Beinahe einer von fünf Befragten (18 %) räumt ein, dass Benutzer von externen Dritten versucht haben, auf nicht autorisierte Informationen zuzugreifen oder ihnen dies sogar gelungen ist. Über drei von fünf Befragten (61 %) können nicht mit Sicherheit sagen, ob eines dieser beiden Vorkommnisse der Fall gewesen ist oder nicht.

Ineffektive Praktiken beim Lifecycle Management von Third-Party-Nutzern sind weit verbreitet, was Unternehmen einem erhöhten Risiko aussetzt.

  • Lediglich 21 % der befragten Organisationen entfernen Nutzer (oder deren Berechtigungen) von externen Dritten sofort nach Beendigung ihrer Aufgaben.
  • Ein Drittel aller Organisationen (33 %) braucht mehr als 24 Stunden um einen Third-Party-User zu deprovisionieren oder verfügt erst gar nicht über einen in sich konsistenten Deprovisionierungsprozess.

Die befragten Organisationen bezweifeln in der überwiegenden Zahl, dass Third-Party-Benutzer sich an dieselben Sicherheitsempfehlungen und Richtlinien halten, und die Befragten vertrauen dieser Nutzergruppe grundsätzlich zu sehr.

  • Lediglich 15 % der Befragten sind davon überzeugt, dass Dritte den Vorgaben des Zugriffs-Managements folgen – etwa Konten nicht gemeinsam zu nutzen und in jedem Fall starke Passwörter zu verwenden.
  • Einer von vier Befragten (25 %) vermutet (oder weiß bestimmt), dass Dritte sich nicht an die betreffenden Regeln halten.
  • Allerdings sagen 45 % der Befragten, dass sie Third-Party-Nutzern im selben Maße vertrauen wie den eigenen Angestellten was die Einhaltung der Sicherheitsvorgaben des Unternehmens anbelangt.

Der Einzelhandel ist, was den Zugriff durch Dritte anbelangt, dem höchsten Risiko ausgesetzt.

  • Annähernd drei von zehn (28 %) Einzelhandelsunternehmen räumen ein, dass Dritte bereits erfolgreich auf Dateien oder Daten zugegriffen haben, auf die sie nicht hätten zugreifen dürfen, oder dass Dritte dies zumindest versucht haben.
  • Eines von fünf Unternehmen (20 %) aus dem Bereich Finanzdienstleistungen, 17 % der Technologieunternehmen und 14 % der Organisationen aus dem Gesundheitswesen sagen dasselbe.
  • Einer von vier Befragten (25 %) aus dem Einzelhandel gab an, den meisten oder sogar allen Nutzern von externen Dritten auch erweiterte Zugriffsberechtigungen zu geben. Im selben Maße trifft das für 18 % der Technologieunternehmen, nur 10 % der Organisationen innerhalb des Gesundheitswesens und lediglich 10 % der Unternehmen in der Fertigungsindustrie zu.

Darrell Long, Vice President of Product Management bei One Identity: “Third-Party-Nutzer sind in modernen Unternehmen gang und gäbe und für alltägliche Abläufe auch nötig. Wenn allerdings die Zugriffsberechtigungen solcher Benutzer nicht korrekt verwaltet werden, geht mit ihnen ein nicht zu unterschätzendes Sicherheitsrisiko einher. Organisationen müssen verstehen, dass die Sicherheitslage immer nur so gut ist wie das jeweils schwächste Glied. Und das sind typischerweise Benutzer von externen Dritten innerhalb eines Netzwerks. Es ist von ganz entscheidender Bedeutung, die Identitäten und Zugriffsberechtigungen Dritter korrekt zu verwalten. Ganz so wie man es bei den eigenen Angestellten auch tut.”


eBook IAM

 

eBook
Identity & Access Management: Im Zeichen der Dynamik


>> Zum Download 
 


Um Datenschutzverletzungen aufgrund eines nicht berechtigten Zugriffs durch unautorisierte Dritte zu vermeiden (wie es bei einigen der schwerwiegendsten Verstößen in der jüngsten Zeit der Fall gewesen ist), sollten Unternehmen die Sicherheitslage auf Basis des Privileged Access Managements (PAM) und der Identity Governance and Administration (IGA) verbessern. Laut der “Third Party Access and Compromise” Studie von One Identity scheitern viele Unternehmen daran, auch nur die Grundlagen von PAM- und IAM-Praktiken anzuwenden, wenn es an die Verwaltung von Third-Party-Benutzern geht. Das gleiche gilt für eine unmittelbare Deprovisionierung der betreffenden Konten und die Einhaltung von Regeln bei der Verwaltung der Zugriffsberechtigungen (wie etwa keine Konten oder Anmeldeinformationen gemeinsam zu nutzen).

One Identity unterstützt Unternehmen dabei, die größten Herausforderungen in den Bereichen IGA und PAM, eingeschlossen der Benutzer von Third Parties, zu adressieren. Das Unternehmen bietet eine End-to-end-Suite von Identity Governance and Administration- und Privileged Access Management-Lösungen, die entwickelt wurden, um die komplexen und zeitraubenden Prozesse zu vereinfachen, die oftmals mit dem korrekten Verwalten von Zugriffsberechtigungen und Identitäten verbunden sind. Das betrifft sowohl die Konten von Standardnutzern als auch die von privilegierten Benutzern, insbesondere in hybriden Umgebungen; einschließlich der allgegenwärtigen AD/Azure AD-Umgebungen. One Identity trägt dazu bei, die mit Third-Party-Benutzern verbundenen Herausforderungen und Risiken zu minimieren, so dass Unternehmen besser in der Lage sind, sich vor Datenschutzverletzungen und anderen Sicherheitsvorfällen zu schützen.

Über die “2019 One Identity Third-Party Access and Compromise” Studie

Die Third-Party Access and Compromise-Studie von One Identity basiert auf einer Online-Umfrage, die von Dimensional Research unter IT-Sicherheitsfachkräften mittlerer bis großer Unternehmen durchgeführt wurde, die in den Themen IAM und privilegierte Konten sachkundig sind. Insgesamt 1.005 Personen aus den USA, Kanada, Großbritannien, Deutschland, Frankreich, Australien, Singapur und Hongkong haben an der Umfrage teilgenommen.

One Identity stellt Ihnen eine kostenfreie Zusammenfassung des Reports hier zur Verfügung, die wichtigsten Ergebisse des kompletten Berichts finden Sie hier.

www.oneidentity.com


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Barcode und Menschen
Dez 12, 2019

Digitale Identitäten - Prognosen für 2020

Digitale Identitäten für Menschen und Maschinen werden die nächsten Jahre prägen. Darrell…
Nur für Mitglieder
Nov 29, 2019

Kontrollierter Zugang zu sensiblen Daten

Systemadministratoren schaffen mit ihren privilegierten Accounts ein hohes…
Nov 26, 2019

Einloggen, statt Hacken: Missbrauch privilegierter Konten

Für Cyberkriminelle ist der Missbrauch kompromittierter Anmeldedaten heute eine der…

Weitere Artikel

DDoS

DDoS-Attacken in Q4 2019 gegenüber Vorjahr fast verdoppelt

Die Anzahl der durch Kaspersky DDoS Protection blockierten Angriffe im vierten Quartal 2018 macht nur 56 Prozent der im selben Quartal 2019 entdeckten und blockierten Angriffe aus. Mehr als ein Viertel (27,65 Prozent) der Attacken fand dabei am Wochenende…
Offenes Schloss

IT-Schwachstellen nehmen weiter zu und es ist keine Lösung in Sicht

Um kontinuierlich neue Sicherheitslücken ausfindig zu machen, verwenden Sicherheitsunternehmen häufig interne Softwarelösungen, die Informationen aus verschiedenen Datenquellen wie Schwachstellendatenbanken, Newslettern, Foren, sozialen Medien und mehr…
Apps Digital

Apps treiben digitalen Wandel in Europa voran

Gemäß der sechsten Ausgabe des „State of Application Services“ (SOAS) Reports haben 91 Prozent der befragten Unternehmen der EMEA-Region explizite Pläne für die digitale Transformation in Arbeit. Im Vergleich dazu sind es 84 Prozent in den USA und 82 Prozent…
DDoS

DDoS-Report: Steigende Komplexität und Volumen der Attacken

Der Anteil komplexer Multivektor-Attacken ist auf 65 % gestiegen, der größte abgewehrte Angriff erreichte ein Maximum von 724 Gbps, so der Bericht der IT-Sicherheitsexperten.
Businessman Kämpfer

Was ist der beste Schutz vor Sabotage, Diebstahl oder Spionage?

Die deutsche Wirtschaft ist sich einig: Wenn es künftig um den Schutz vor Sabotage, Datendiebstahl oder Spionage geht, braucht es vor allem qualifizierte IT-Sicherheitsspezialisten. Praktisch alle Unternehmen (99 Prozent) sehen dies als geeignete…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!