State of Secure Identity

Sven Kniest, Vice President Central & Eastern Europe bei Okta, über Sicherheit im Spannungsfeld zwischen Cyberrisiken und Investitionsbereitschaft und die damit in Zusammenhang stehende Maßnahmen-Diskrepanz: Sicherheit sollte ein Wert beigemessen werden. Wie es besser geht, beschreibt er in seinem nachfolgenden Beitrag.

Eigentlich sollten die Regeln zum Erstellen eines sicheren Passwortes jedem bekannt sein. Schön lang sollte es sein, neben Zahlen und Buchstaben auch Sonderzeichen beinhalten, und es sollte nicht für mehrere Dienste gleichzeitig verwendet werden. Doch wie die Realität zeigt, scheint das für viele Anwender noch immer zu umständlich zu sein. Denn auch 2021 führten die Liste der beliebtesten Passwörter des Hasso-Plattner-Instituts wieder die Zahlenfolgen „123456“ und „12345“ oder schlicht das Wort „passwort“ an.

Diese „Gemütlichkeit“ beim Vergeben von Passwörtern birgt jedoch ein erhebliches Sicherheitsrisiko und stellt eine Einladung für Cyberkriminelle dar. Was Sicherheitsexperten dabei vor allem Sorgenfalten bereitet, ist das sogenannte „Credential Stuffing“ – das Verwenden gestohlener Anmeldedaten, um sich Zugang zu Benutzerkonten zu verschaffen. Da viele Anwender immer wieder dieselben Passwörter für verschiedene Dienstleistungen nutzen, wird den Kriminellen hier das Spiel so einfach wie nur möglich gemacht. Haben diese einmal die Zugangsdaten für einen Dienst erbeutet, haben sie oft auch Zugriff auf viele weitere Services.

Großer Teil aller Login-Versuche erfolgen mit gestohlenen Anmeldedaten

Die Gefahr durch Credential Stuffing ist dabei nicht zu unterschätzen, wie der aktuelle State of Security Identity Report von Okta beweist. Demnach macht es im ersten Viertel des Jahres 2022 gut ein Drittel aller Login-Versuche weltweit aus (vor allem im Bereich E-Commerce ist diese Art der Cyberkriminalität mit 80 Prozent besonders hoch). Eine fatale Erkenntnis, bedenkt man, dass die Digitalisierung mittlerweile in jedem Lebensbereich Einzug gehalten hat und die User sowie vor allem die Unternehmen heutzutage darauf angewiesen sind, dass ihre Online-Identitäten und -Daten umfassend geschützt werden.

„Der Aufbau einer unternehmensweiten Sicherheitskultur ist der erste Schritt einer gut ausgearbeiteten Sicherheitsstrategie“, erläutert Sven Kniest.

Hohes Bewusstsein für Cyberrisiken in Unternehmen

Um vor solchen und weiteren Sicherheitsrisiken gut geschützt zu sein, müssen Unternehmen mehr in die Cybersicherheit investieren – nicht nur Geldmittel, sondern insbesondere auch Zeit – und diese fest in ihrer Geschäftsstrategie etablieren.

Die gute Nachricht ist: Diese Message scheint in den meisten Führungsetagen angekommen zu sein. So gaben weltweit 88 Prozent der Führungskräfte an, dass die Gefährdung der Cybersicherheit ein wichtiges geschäftliches Problem und kein rein technisches sei. Auf Deutschland bezogen ist das Bewusstsein für die Risiken aus dem World Wide Web ebenfalls hoch. Laut des Globalen CEO Surveys der Unternehmensberatung PwC sehen 59 Prozent der befragten CEOs die Cybersicherheit als größtes Geschäftsrisiko, noch vor den Gesundheitsrisiken im Rahmen der weltweiten Covid-Pandemie.

Investitionen in Cybersicherheit

Dieses gestiegene Bewusstsein für Cybersicherheit ist positiv zu bewerten, doch sollte sich dieses auch in den entsprechenden Handlungen widerspiegeln. So haben 2021 zwar 62 Prozent der Unternehmen angekündigt, ihre Investitionen in die Cybersicherheit zu erhöhen – ein Trend, der sich auch global abzeichnet – doch können diese Investitionen (noch) nicht mit dem Tempo der Digitalisierung in Deutschland mithalten. Das ist wenig verwunderlich, hinkte Deutschland in Sachen Digitalisierung im europäischen Vergleich lange hinterher und hat erst in den letzten Jahren angefangen, hier aufzuholen. Das führt dazu, dass sich die meisten Führungskräfte der gestiegenen Cybergefahr zwar bewusst und bereit sind, in deren Abwehr zu investieren, jedoch auf Grund der mangelnden Digitalisierung noch das nötige Know-how fehlt, um die richtigen Maßnahmen zu ergreifen.

Dabei geht es nicht nur um die finanziellen Aspekte bei der Cybersicherheit, sondern auch um die strategischen. Die Cybersicherheit sollte nicht nur ein Aspekt von vielen in der Unternehmensstrategie sein, sondern ein elementarer Bestandteil dieser. Das heißt, Sicherheit sollte bei jeder Unternehmensentscheidung mitgedacht sowie eine ausgereifte Sicherheitsstrategie etabliert werden.

Die richtige Sicherheitsstrategie ist wichtig

Eine gut ausgearbeitete und von jedem im Unternehmen gelebte Sicherheitsstrategie ist wichtig, um die Online-Identitäten und -Daten bestens zu schützen und mögliche Cyberangriffe in jeglicher Form bereits im Vorfeld zu verhindern und abzuwehren. Ein erster Punkt, den eine solche Sicherheitsstrategie beinhalten sollte, ist daher der Aufbau einer unternehmensweiten Sicherheitskultur. Diese sollte die Mitarbeitenden aufklären und die nötigen Schritte aufzeigen, wie die Unternehmenssysteme und die Online-Identitäten geschützt werden können. Dazu gehört zum Beispiel das Verwenden starker Passwörter, welche ebenfalls regelmäßig geändert und niemals für mehrere Accounts gleichzeitig verwendet werden sollten.

Auch wenn die meisten deutschen Unternehmen vor allem auf das Verwenden sicherer Passwörter setzten, sollte das nicht das einzige Standbein sein, auf welchem die Sicherheitsstrategie fußt. Eine Möglichkeit, den Login-Prozess sicherer zu gestalten, ist der Einsatz von Multi-Faktor-Authentifizierung (MFA). Gegenüber der Verwendung einer einfachen Kombination aus Username und Passwort stellt diese eine zusätzliche Absicherung durch mehrere Authentifizierungsfaktoren dar und bildet ein weiteres starkes Hindernis für mögliche Angreifer.

Wenngleich Login-Prozesse mittels Anmeldename und Passwort in Kombination mit MFA eine hohe Sicherheit bieten, gänzlich lückenlos sind sie jedoch nicht. Eine andere Technik, auf die viele große Software-Unternehmen in den nächsten Jahren setzten wollen, sind Login-Prozesse, die gänzlich ohne Passwörter auskommen. Passwortlose Login-Prozesse mittels Push-Benachrichtigungen oder biometrische Faktoren bieten um einiges mehr Sicherheit als klassische Passwort-Lösungen und sollten daher auch in der Cybersicherheitsstrategie von Unternehmen ernsthaft in Betracht gezogen werden.

CIAM als wichtiger Bestandteil der Sicherheitsstrategie

Völlig unabhängig davon, für welche Login-Prozesse sich in der Sicherheitsstrategie entschieden wird, um Schwachstellen zu reduzieren und die negativen Auswirkungen bei erfolgreichen Angriffen zu minimieren, sollten Unternehmen umfassende Customer Identity and Access Management (CIAM)-Lösungen etablieren. Solche CIAM-Lösungen – wie etwa die Auth0-Plattform von Okta – bieten Single-Sign-on-Verfahren (SSO), MFA, Access Management und Data Access. Dadurch liefern sie eine hohe Sicherheit, ohne dass die User-Experience dabei zurückstecken muss. Gute und umfassende CIAM-Lösungen stellen eine notwendige und wichtige Maßnahme dar, um Unternehmens- und Mitarbeiterdaten bestmöglich zu schützen.

Fazit

Die Gefahr durch Cyberattacken nimmt stetig zu, wie auch der State of Security Identity Report zeigt. Umso wichtiger ist es, dass in den Unternehmen das entsprechende Bewusstsein für die Bedeutung umfangreicher Sicherheitsmaßnahmen und die Investitionsbereitschaft in diese besteht. Dabei sollte ein identitätsorientierter Ansatz fest in der Sicherheitsstrategie implementiert werden, welcher einen umfangreichen Schutz für die Online-Daten und -Identitäten bietet und Verfahren für die Aufdeckung von Credential Stuffing und betrügerischen Registrierungen sowie Techniken zur Verhinderung der Umgehung von MFA beinhaltet. Um sicherzugehen, dass die User auch wirklich die sind, für die sie sich ausgeben, ist schließlich CIAM der Schlüssel einer guten Cybersicherheit. Dieses wertet die Verhaltensmuster der User aus und erhöht so risikobasiert die Hürden für Angreifer. So wird ein Höchstmaß an Sicherheit für Unternehmen und ihre Daten ermöglicht.


Creative Commons Lizenz CC BY-ND 4.0

Sie dürfen:

Teilen — das Material in jedwedem Format oder Medium vervielfältigen und weiterverbreiten und zwar für beliebige Zwecke, sogar kommerziell.

Der Lizenzgeber kann diese Freiheiten nicht widerrufen solange Sie sich an die Lizenzbedingungen halten.


Unter folgenden Bedingungen:

Namensnennung — Sie müssen angemessene Urheber- und Rechteangaben machen, einen Link zur Lizenz beifügen und angeben, ob Änderungen vorgenommen wurden. Diese Angaben dürfen in jeder angemessenen Art und Weise gemacht werden, allerdings nicht so, dass der Eindruck entsteht, der Lizenzgeber unterstütze gerade Sie oder Ihre Nutzung besonders.

Keine Bearbeitungen — Wenn Sie das Material remixen, verändern oder darauf anderweitig direkt aufbauen, dürfen Sie die bearbeitete Fassung des Materials nicht verbreiten.