BLOG

5 min read

Mit Security Awareness und Zero Trust zu verbesserter Employee Experience und Cybersicherheit.

Mar 15, 2022 9:30:00 AM

Security Awareness Konzepte und Zero Trust

In unserem Beitrag „Security Awareness Programme: IT-Sicherheit fängt beim Benutzer an.“ haben wir aufgezeigt, dass Sensibilisierungsprogramme die Emotion der Benutzer ansprechen müssen, um erfolgreich zu sein. In diesem Beitrag befassen wir uns damit, warum Passwörter ein Sicherheitskonzept zum Scheitern bringen können und wie das Zero Trust Konzept bei der Lösung helfen kann.

Warum werden Sicherheitsrichtlinien trotz Security Awareness Konzept hintergangen?

Trotz noch so durchdachter Security Awareness-Konzepte werden einzelne Mitarbeiter Sicherheitsrichtlinien umgehen, wenn diese ihre Produktivität beeinträchtigen. In vielen Fällen scheitert die Einführung neuer Sicherheitsmaßnahmen nicht deshalb, weil die Belegschaft die Risiken nicht versteht, sondern weil der Prozess, die Technologie oder beides zu umständlich sind. Dies führt dazu, dass die Benutzer nach Möglichkeiten suchen, technische Beschränkungen zu überwinden und bevorzugt ihren eigenen, unsicheren Weg wählen.

Laut einer Forrester-Studie geben zehn Prozent der Mitarbeiter im Informationsbereich an, dass sie eine Sicherheitsrichtlinie aktiv umgehen würden, wenn sie nur wüssten, wie. Ihr Hauptgrund: effizientes Arbeiten.

Im schlimmsten Fall entsteht in der Folge eine Schatten-IT, Mitarbeiter verbringen wertvolle Zeit mit der Suche nach Umgehungslösungen und erhöhen das Risiko, sensible Daten preiszugegeben oder zu verlieren.

Security Awareness Kampagnen haben also nur mäßigen Erfolg, wenn die technischen Voraussetzungen und auch die Prozesse nicht gegeben sind.

 

Die Authentifizierung mit Passwörtern

Eines dieser Hindernisse sind Passwörter zur Authentifizierung. Passwörter sind zum Schutz digitaler Ressourcen und Daten immer noch breit im Einsatz. Aber sie sind auch der Grund vieler Cyberangriffe. Laut einer Bitkom Recherche von 2021 waren 18% der Cyberattacken, die Schäden in Unternehmen verursacht haben, Angriffe auf Passwörter. Personen neigen leider dazu, schwache Passwörter zu nutzen, die leicht zu merken sind. Trotz Security Awareness Konzepte werden schwache Passwörter verwendetDiese "zirkulieren" nach erfolgreichem Angriff in großer Zahl im Dark Web: Die Zahl der gestohlenen Benutzernamen und Passwörter dort ist von 2018 bis 2020 um 300 % gestiegen.
Sobald der Angreifer die Zugangsdaten erbeutet hat, kann er sich unbemerkt durch das Unternehmen bewegen.  

Unternehmen sollten daher andere Faktoren für das Identity & Access Management (IAM) in Betracht ziehen und einen Zero Trust Ansatz für Authentifizierung verfolgen. 

Das Ziel sollte weg vom Passwort zu einer kennwortlosen Authentifizierung führen.


Von Single Sign On zur passwortlosen Authentifizierung

Die erste Verbesserung einer Passwort-zentrierten Authentifizierung kann die Einführung von Single Sign On (SSO) Methoden sein. Diese reduziert die Häufigkeit der Passworteingabe und ebenso die Anzahl der benötigten Passwörter. Die Verlagerung zur Telearbeit (Work from Home) hat viele Unternehmen dazu veranlasst, zumindest eine grundlegende Zwei-Faktor-Authentifizierung (2FA) mit Einmalpasswörtern per SMS einzuführen.

Im nächsten Schritt könnten Unternehmen in Verbindung mit Passwörtern einen weiteren Faktor durchgängig für alle Mitarbeitenden verwenden, insbesondere für privilegierte Benutzer und Systeme beispielweise digitale Zertifikate, (hardware- oder softwarebasierte) Tokens und Zugangskarten. Im Minimum könnte man in diesem Schritt die SMS-basierte 2FA durch eine anwendungsbasierte 2FA ersetzen.

Die Authentifizierung ohne Passwort ist die fortschrittlichste, sicherste60x60-Fingerabdruck-Biometrische-Verfahren-Cybersicherheit-Authentifizierung und reibungsloseste Stufe der Authentifizierung. Unternehmen verwenden digitale Zertifikate Dritter oder biometrische Faktoren. Andere Faktoren können als zusätzliche Sicherheitsmaßnahme eingesetzt werden, gerade für privilegierte Benutzer und Systeme sollten umfangreichere Authentifizierungsanforderungen gelten.

Digitale Transformation führt zu neuen Sicherheitsansätzen: Zero Trust

Mit der „Consumerization of IT“ (die spätestens mit der Einführung des iPhone 2007 begann) und der Tatsache, dass die digitale Transformation Unternehmen immer durchlässiger werden lässt, hat sich die IT-Landschaft verändert. Die IT musste Kompetenzen abgeben: User wollen die Freiheit, sich selbst zu managen. Wir arbeiten von überall aus, und entlang der gesamten Wertschöpfungskette interagieren Beteiligte miteinander.

Aber wenn Unternehmen die digitale Transformation unter Berücksichtigung der dafür notwendigen IT-Sicherheit erfolgreich vollziehen möchten, dann müssen sie die einzelnen Menschen mitnehmen.

Das Zero Trust (ZT)-Framework von Forrester beschreibt eine moderne Sicherheitsarchitektur für Unternehmen. Es bedeutet die Abkehr vom herkömmlichen, perimeterbasierten Sicherheitsansatz hin zu einem datengesteuerten und identitätsbewussten Sicherheitsmodell. Zero Trust verbessert nicht nur die Sicherheit, sondern hat einen versteckten Hebel zur Verbesserung des sogenannten Mitarbeitererlebnisses bzw. Employee Experience (EX). Denn Sicherheit und Produktivität sind grundlegende Notwendigkeiten für moderne Unternehmen.

Was steigert die Employee Experience?

  • Schützen Sie zuallererst die Daten. Wenden Sie das Prinzip des "Least Privilege Access (Prinzip der minimalen Privilegien) an. Benutzer sollen nicht mehr Zugriff haben, als sie benötigen.
  • Erlauben Sie den Mitarbeitern, so zu arbeiten, wie sie wollen und wo sie wollen. Zero Trust ermöglicht, von überall und mit jedem Gerät zu arbeiten - solange sie sich ordnungsgemäß auf einem konformen Gerät und in einer konformen App authentifizieren.
  • Bieten Sie Mitarbeitern Auswahlmöglichkeiten bei der Technologie, indem Sie Zero Trust als Prinzip einsetzen, um Benutzer, Geräte und Anwendungen vor dem Zugriff zu überprüfen. Mitarbeiter, die dies können (z.B. Bring your own Device-Option), verfügen über einen höheren EX-Wert als solche, die dies nicht können.
Mitarbeiter in einem ganzheitlichen Zero Trust-Modell starten keine VPN-Clients, müssen sich keine Passwörter merken und müssen sich keine Sorgen machen, an Dateien mit sensiblen, nicht für sie bestimmten Informationen zu kommen. Zero Trust löst diese Probleme, indem es die Benutzer direkt bei den Anwendungen authentifiziert, passwortlose Methoden einsetzt und Zugriffsrichtlinien nach dem Prinzip der minimalen Privilegien erstellt.

Fazit:
Konzentrieren Sie sich weiterhin auf die Steigerung der Security Awareness, auf die Veränderung des Verhaltens und der Kultur. Dadurch, dass Zero Trust Ihren Mitarbeitern das Arbeiten erleichtert, wird es für sie einfacher, Sicherheit in ihr tägliches Leben zu integrieren, wodurch sich wiederum Ihre gesamtheitliche Sicherheitslage und -kultur verbessert.


Webinar am 07.04.2022:
IT-Sicherheit fängt beim User an! People Centric Security

In diesem Gespräch diskutieren Andreas Fuchs (Head of Strategy & Vision) und Udo Riedel (CTO), wie Sie den Faktor Mensch in Ihre IT-Security Strategie integrieren und das Zusammenspiel von Technik und User so orchestrieren, dass Ihre Daten und Systeme maximal sicher sind.

Weitere Infos und Anmeldung hier >>


Fotos: iStock


DriveLock
Written by DriveLock

weitere News