Passwortsicherheit durch effektive Sicherheitsrichtlinien

Eine Kundenumfrage von LogMeIn zeigt, wo sich Unternehmen bei der Verwaltung von Passwörtern schwer tun und mit welchen Ansätzen sich Unternehmensdaten besser schützen lassen.

Die Medien sind voll davon: Die Zahl der Cyberangriffe wächst jedes Jahr, gleichzeitig werden sie immer komplexer. Trotz dieser offensichtlichen Notwendigkeit fällt es Unternehmen schwer, effektive Sicherheitsrichtlinien umzusetzen. Stichwort Passwortschutz: Es ist kein Geheimnis, dass schwache Passwörter eine der häufigsten Sicherheitsbedrohungen darstellen und der laxe Umgang damit eine weit verbreitete schlechte Angewohnheit ist. Das zeigte sich erst wieder Anfang 2019 mit dem Dataleak Collection #1 und dem darauffolgenden.

Anzeige

Zahlen zu Cyberangriffen in Deutschland:

  • Jeder zweite Internetnutzer wurde im vergangenen Jahr Opfer von Cyberkriminalität. 23 Prozent klagen über illegale Datennutzung, Bitkom Research 2018
     
  • Schon seit langem ist die deutsche Industrie das Ziel von Hackern. Die Zahl der Angriffe steigt permanent, den Schaden hierzulande beziffert das Beratungsunternehmen Deloitte auf 50 Milliarden Euro pro Jahr.
     
  • Durch Sabotage, Datendiebstahl oder Spionage ist der deutschen Industrie in den vergangenen beiden Jahren ein Gesamtschaden von insgesamt 43,4 Milliarden Euro entstanden. Sieben von zehn Industrieunternehmen (68 Prozent) sind in diesem Zeitraum Opfer entsprechender Angriffe geworden, jedes fünfte Unternehmen (19 Prozent) vermutet dies. 

Weitere Informationen finden Sie hier.


Doch Unternehmen haben Schwierigkeiten zu quantifizieren, wie hoch ihr Risiko durch schlechte Passwortsicherheit ist, selbst wenn sie Passwortmanager verwenden. Warum? Weil nicht klar ist, ob ihre Sicherheitsrichtlinien wirklich greifen. Ihnen fehlt der Einblick in das Verhalten ihrer Mitarbeiter. Und sie können nicht überprüfen, wo sie im Vergleich zu Wettbewerbern oder anderen Unternehmen ähnlicher Größe beziehungsweise in ähnlichen Branchen oder in einem lokalen Markt stehen.

Um Unternehmen hier mehr Einblicke zu geben, hat LogMeIn die Passwortgewohnheiten der Mitarbeiter von 43.000 Unternehmen aller Größen und Branchen analysiert, die den Passwortmanager LastPass verwenden. Der Bericht zeigt nicht nur, wie Mitarbeiter tatsächlich am Arbeitsplatz mit Passwörtern umgehen, sondern bietet CISOs und anderen IT-Experten auch einen echten Benchmark, um zu sehen, wie sie im Vergleich zu anderen ähnlichen Unternehmen abschneiden und wie sie ihre Passwortsicherheit verbessern können.

Je größer das Unternehmen, desto größer das Sicherheitsrisiko

Die Untersuchung zeigt zudem: Je größer ein Unternehmen ist, desto niedriger ist sein Sicherheitswert im Durchschnitt. Unternehmen, die LastPass mit 25 oder weniger Mitarbeitern nutzen, wiesen den höchsten durchschnittlichen Sicherheitswert auf. Dieser sinkt jedoch mit zunehmender Unternehmensgröße bis zu einem gewissen Punkt. Denn Unternehmen mit mehr als 500 Mitarbeitern zeigten wiederum stagnierende Werte und kämpften mit ähnlichen Herausforderungen bei der Verbesserung der Passwort-Hygiene, unabhängig davon, ob sie nun 1.000 oder 10.000 Mitarbeiter beschäftigten. Diese größeren Unternehmen machen es für die IT-Abteilung schwieriger, alle Mitarbeiter an Passwortsicherheitsstandards zu binden: Unternehmensschädigendes, leichtsinniges Passwortverhalten ist leichter möglich.

Das bedeutet jedoch nicht, dass größeren Unternehmen nicht geholfen werden kann – einige der Spitzenreiter waren unter den großen Unternehmen zu finden. Das zeigt, dass Größe nur ein Faktor ist, den IT-Profis bei der Implementierung von Sicherheitsrichtlinien berücksichtigen sollten. Je größer das Unternehmen, desto schwieriger ist es, bestimmte Herausforderungen zu bewältigen, von Budgets bis hin zu bürokratischem Aufwand. Kleinere Unternehmen stehen vor ähnlichen Herausforderungen, nur in kleinerem Umfang. Trotz geringerer Ressourcen ist es einfacher, sichere Passwörter und eine mehrstufige Authentifizierung für alle Mitarbeiter zu gewährleisten, wenn der Mitarbeiterstamm kleiner ist.

Ein sehr gutes Beispiel für die Herausforderungen, die mit der Größe des Unternehmens wachsen, ist die gemeinsame Nutzung von Zugangsdaten. Im Durchschnitt teilt ein bestimmter Mitarbeiter etwa sechs Passwörter mit seinen Mitarbeitern. Die Auswirkungen in einem Unternehmen mit 100 Mitarbeitern sind bereits enorm, doch stellt man sich das Gleiche für ein Unternehmen mit mehr als 10.000 Mitarbeitern vor, wird das Ausmaß des Risikos klar. Die gemeinsame Nutzung von Passwörtern ist sowohl für Mitarbeiter als auch für IT-Administratoren frustrierend, da die Benutzer auf die Verwendung von schwachen, aber leicht einzuprägenden Passwörtern zurückgreifen, die potenzielle Einfallstore für das Unternehmen darstellen. Da Teams immer verteilter und technologieabhängiger agieren, wird es für Unternehmen immer komplizierter, aber auch unerlässlich, gemeinsame Passwörter zu schützen, zu verfolgen und zu auditieren. Um die allgemeine Sicherheit zu verbessern, sind effektivere Richtlinien und Schulungen notwendig.

Deutsche Behörden haben die höchsten Sicherheitswerte – die Technologie Branche hinkt hinterher

Technologie- und Non-Profit-Organisationen erreichten global gesehen bei der LastPass-Analyse die höchsten Sicherheitswerte, während Einzelhandel sowie stark regulierte Branchen wie das Banken- und Gesundheitswesen, Versicherungen und Behörden – obwohl alle häufig von Cyberattacken betroffen – niedrigere Sicherheitswerte aufweisen.

Wenig überraschend: Die Sicherheitswerte aller befragten deutschen Unternehmen lagen beim Sicherheitswert über dem weltweiten Durchschnitt. Gewiss bedingt durch ein grundsätzliches Sicherheitsbestreben und der bereits langen Datenschutz-Tradition, die 2018 in die Einführung von Standards wie der Datenschutz-Grundverordnung (EU-DSGVO) mündete. Blickt man jedoch auf die einzelnen Branchen, sind die Behörden mit 86 Zählern weit vor den Technologieunternehmen mit 49 und der Telekommunikationsbranche mit 46. Nur bei den Banken (38) und im Gesundheitswesen (39) sieht es noch düsterer aus.

Worin deutsche Unternehmen stark hinterherhinken, ist bei der Multifaktor-Authentifizierung. Gerade einmal drei Prozent nutzen diese Möglichkeit, Konten zu sichern. Dabei ist und bleibt diese die branchenweite optimale Vorgehensweise gegen Kontozugriffe von außen. Hierbei ist die USA Vorreiter: 65% aller Unternehmen, die mit Multifaktor-Authentifizierung arbeiten, sind dort ansässig.

IT-Sicherheit zu verbessern, ist eine kontinuierliche Aufgabe – effizienteres Passwortmanagement dagegen können Unternehmen unabhängig von Größe, Branche und Standort vergleichsweise einfach umsetzen. Dass sich dies bereits wandelt, zeigt die Umfrage: Immer mehr Unternehmen beschäftigen sich mit Passwortschutz. Und bereits ein Jahr nach der Implementierung eines Passwortmanagers, so die Analyse, können die meisten Unternehmen ihren Sicherheitswert um durchschnittlich fast 15 Punkte verbessern. Für Unternehmen, die einen Passwortmanager implementieren und ihre Passwortsicherheit messen wollen, bieten die Umfrageergebnisse einen hilfreichen Maßstab sowie realistische Ziele und Best Practices.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Transparenz ist der Schlüssel zu höherer Datensicherheit

Da immer mehr Unternehmen BYOD-Richtlinien umsetzen und Netzwerke für zuvor nicht genehmigte Geräte und Anwendungen öffnen, müssen CISOs und andere IT-Führungskräfte ihre Einstellung zur Passwortsicherheit ändern. Transparenz ist der Schlüssel: Man kann die Sicherheit nicht messen, wenn man kein System hat, das Einblicke in potenzielle Risikobereiche gewährt. Die Implementierung eines Passwortmanagers verbessert nicht nur die Sicherheit, sondern erhöht auch die Produktivität, die Markenwahrnehmung und die Mitarbeiterzufriedenheit, da Unternehmen besser gerüstet sind, um künftigen Herausforderungen sicher zu begegnen.

Gerald BeucheltGerald Beuchelt, Chief Information Security Officer bei LogMeIn

www.logmein.com/de

 

 

 

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.