Whitepapers

Umfassende Passwort-Management-Lösungen bieten Schutz vor der größten Einzelquelle von Bedrohungen

Bei der Cybersicherheit herrscht unter vielen kleinen und mittelständischen Unternehmen (KMU) die weit verbreitete Überzeugung, dass die größten Schwachstellen woanders liegen – etwa bei größeren, wohlhabenderen Enterprise-Unternehmen. Doch es mehren sich die Belege, dass KMU anfälliger werden als ihre Enterprise-Konkurrenten, und Selbstzufriedenheit angesichts dieser Realität kann für viele KMU verheerende Folgen haben.

Glücklicherweise gibt es viele leicht zugängliche Abwehrmaßnahmen gegen diese wachsende Flut von Cyberbedrohungen, nicht zuletzt umfassende Passwort-Management-Lösungen, die allein eine enorme Anzahl und Art von Angriffen stoppen können. Tatsächlich ist umfassendes Passwort-Management angesichts der Bedrohungslage, der relativ geringen Kosten und des enormen Schutzes vor Angriffen heutzutage eine klassische Selbstverständlichkeit für KMU.

Wie wirksam ist die konsequente Nutzung starker Passwörter bei der Abwehr gängiger Angriffe? Der jährliche Verizon Data Breach Investigations Report enthüllte eine erschreckende Statistik: Fast zwei Drittel – 63 % – der erfolgreich bestätigten Datenschutzverletzungen nutzten schwache, Standard- oder gestohlene Passwörter aus.¹ Die meisten, wenn nicht alle dieser Angriffe wären durch maschinell generierte Passwörter gestoppt worden – eine Funktion umfassender Passwort-Management-Lösungen – die darauf ausgelegt sind, solche passwortbezogenen erfolgreichen Angriffe zu vereiteln.

1 Verizon Data Breach Investigations Report, Verizon, 2016

WARUM KMU SO BELIEBTE ZIELE SIND

Dass KMU schnell zu einem riesigen Ziel für Cyberangriffe werden, wird zunehmend besser verstanden und erkannt. Tatsächlich behauptet ein Bericht, dass KMU nicht nur viel mehr für die Cybersicherheit tun müssen, sondern auch besonders auf die Passwortpraktiken ihrer Mitarbeiter achten müssen. Der Bericht fügt hinzu: "Trotz eindeutiger Belege, dass die überwältigende Mehrheit der KMU-Cyberangriffe auf schlechtes Passwort-Management zurückzuführen ist, tun KMU sehr wenig, um die Transparenz über die Passwortpraktiken ihrer Mitarbeiter zu erhöhen."²

Die eskalierende Bedrohung für KMU wird noch deutlicher durch die Ergebnisse der Studie 2017 State of Cyber Security in Small & Medium Size Businesses des Ponemon Institute, die ähnliche Erkenntnisse aus dem Bericht 2016 bestätigte. Die Ergebnisse des Berichts 2017 mit mehr als 1.000 befragten US- und UK-KMU sind eine Warnung für KMU. Zu den wichtigsten Erkenntnissen gehören:

• 61 % der befragten KMU meldeten einen Cyberangriff, ein deutlicher Anstieg gegenüber 55 % im Vorjahr.
• 54 % meldeten eine Datenschutzverletzung, wobei Mitarbeiterfahrlässigkeit (z. B. schlechte Passworthygiene) als häufigste Ursache genannt wurde.
• 52 % meldeten einen Ransomware-Angriff, und gestohlene oder kompromittierte Passwörter sind ein wichtiger Wegbereiter dieser lähmenden Angriffe.
• Die Gesamtkosten eines erfolgreichen Angriffs auf ein KMU belaufen sich mittlerweile auf über 1 Million US-Dollar – Schäden, die für viele KMU ruinös sein könnten.

2 Why small and mid-sized businesses are a huge target for cyber attacks CSO from IDG, October 2017

PASSWORT-TRANSPARENZ IST UNVERZICHTBAR

Eine überraschende Anzahl von IT- und Nicht-IT-Führungskräften in KMU hat wenig oder keine Transparenz über die Passwortpraktiken ihrer eigenen Mitarbeiter. In einem Bericht gehörte das Wort "password" zu den zehn am häufigsten verwendeten Passwörtern des vergangenen Jahres. Andere greifen auf einfache Passwörter wie 123456 zurück. Tatsächlich zeigte eine Studie von etwa 13 Millionen bei Datenschutzverletzungen verwendeten Passwörtern, dass die fünf häufigsten Passwörter 123456; 123456789; 12345; 12345678 und qwerty waren – die aufeinanderfolgenden Buchstaben der oberen Reihe einer herkömmlichen Tastatur.

Wieder andere teilen ihre Passwörter sorglos mit Kollegen und sogar Dritten. Viele Benutzer notieren ihre Passwörter auf Haftnotizen oder Papierblöcken, die sie (oder sonst jemand) leicht zugreifen können. Geburtstage sind ebenfalls sehr beliebt als Passwörter. Und viel zu viele verwenden dieselben Passwörter oder leichte Abwandlungen davon für den Zugang zu mehreren Systemen, Websites und Datenbanken.

Hacker sind sich dieser gängigen Praktiken in so vielen KMU nur allzu bewusst, weshalb KMU schnell zu ihrem beliebtesten Ziel werden. Sie repräsentieren den Weg des geringsten Widerstands für Fehlverhalten, die sprichwörtlich tief hängenden Früchte.

DIE DROHENDE IOT-BEDROHUNG

Andere eskalierende Bedrohungen für die Cybersicherheit von KMU sind weniger offensichtlich, aber nicht weniger gefährlich. Die meisten Führungskräfte denken beim Internet of Things (IoT) – jenen internetverbundenen Geräten, die in diesem Jahr über 6,4 Milliarden im Einsatz sein werden – vor allem an Konsumprodukte. Doch sie sind in KMU sehr verbreitet: programmierbare Thermostate, Smart-TVs, Saugroboter und Streaming-Sicherheitskameras. Und sie haben eines gemeinsam: Sie kommen frisch aus der Fabrik mit voreingestellten, sehr leicht zu hackenden Passwörtern, die nur wenige Personen sich die Mühe machen zu ändern.

Das Eindringen in diese Geräte kann verschiedene Steuerungssysteme innerhalb eines KMU verheerend treffen. In einem Fall im vergangenen Jahr übernahmen Hacker die Kontrolle über 100.000 schlecht gesicherte IoT-Geräte und starteten dann einen Botnetz-Angriff, der den Internetdienst für Millionen von Kunden lahmlegte.³ Auch hier würde die Einführung umfassender Passwort-Best-Practices solche Angriffe im Keim ersticken.

3 DDoS attack on Dyn came from 100,000 infected devices, Computerworld, October 2016

WERT VON PASSWORT-MANAGEMENT-LÖSUNGEN

Umfassende Passwort-Management-Lösungen bieten zwar kein Allheilmittel gegen alle KMU-Cyberbedrohungen, aber sie bieten zweifellos einen sehr starken Schutz gegen die häufigsten Angriffsvektoren und die Passwortschwächen, die diese typischerweise ausnutzen.

Diese Systeme verschaffen IT-Administratoren sofort eine sehr breite Transparenz über die Passwortpraktiken aller Mitarbeiter sowie aller von ihnen genutzten Unternehmens- und persönlichen Mobilgeräte. Doch selbst die Administratoren haben niemals Kenntnis der tatsächlich verwendeten Passwörter. Was sie jedoch feststellen können, ist, ob die Benutzer die vorgeschriebene Passworthygiene einhalten, einschließlich der Verwendung komplexer Passwörter, der Vermeidung der wiederholten Nutzung desselben Passworts und anderer Best Practices.

Die vom System generierten Passwörter sind hochkomplex und bestehen aus Buchstaben, Zeichen und Zahlen. Das macht sie schwer, wenn nicht unmöglich zu knacken. Sie sind auch für Benutzer schwer, wenn nicht unmöglich zu merken. Das ist jedoch kein Problem, da jeder Benutzer sich nur ein Passwort merken muss, das es dem Passwort-Management-System ermöglicht, seine einzigartigen Passwörter auf höchst sichere Weise anzuwenden.

Tatsächlich hat auch niemand beim Anbieter der Passwort-Management-Lösung eine Möglichkeit, auf diese maschinell generierten, gespeicherten Passwörter zuzugreifen. Das liegt daran, dass die Passwörter und andere Informationen, die ein Kunde speichern möchte – wie alle Anmeldedaten und andere sensible Dateien – in einem hochsicheren Datentresor aufbewahrt werden. Ein autorisierter Benutzer erhält Zugang zu dem, was er oder sie im Tresor gespeichert hat, so einfach wie durch die Anmeldung. Bei den sogenannten Zero-Knowledge-Tresoren vieler Passwort-Management-Lösungen kann niemand beim Anbieter Zugang zu Passwörtern oder Schlüsseln erhalten, um an diese Daten zu gelangen, noch können sie die Daten in den Tresoren entschlüsseln.

WUNSCHLISTE FÜR PASSWORT-MANAGEMENT-LÖSUNGEN

Bei der Suche nach der besten Passwort-Management-Lösung sollten Sie sicherstellen, dass die betreffende Lösung die sichere Erstellung, Freigabe und Verwaltung von Datensätzen und verschlüsselten Dateien über verschiedene interne Teams und möglicherweise auch mit Dritten ermöglicht. Eine Lösung mit konfigurierbaren Richtlinien und Berechtigungen kann dabei helfen, die Lösung mit anderen bestehenden internen Sicherheitsrichtlinien und -kontrollen in Einklang zu bringen.

Ein weiterer Pluspunkt ist die Möglichkeit, die Passwort-Lösung an Richtlinien und Verfahren für privilegierte Konten und Kontenanmeldedaten zu koppeln. Schließlich sollten Sie sicherstellen, dass die Lösung ein hochsicheres, verschlüsseltes Passwort-Management sowie eine wirklich benutzerfreundliche Oberfläche bietet, die für die größte Vielfalt an Betriebssystemen und Geräten verfügbar ist. Für Compliance-Bemühungen hilft es ebenfalls, wenn die Lösung umfassende Audit-Funktionen bietet.

KMU-FÜHRUNGSKRÄFTE: SCHIEBEN SIE DAS PASSWORT-MANAGEMENT NICHT AUF ANDERE AB

Ein weiterer wichtiger Punkt zum Passwort-Management verdient Aufmerksamkeit. Ohne Frage kann sich das Führungsteam eines milliardenschweren Unternehmens leisten, das Passwort-Management anderen zu überlassen, oft dem CIO. Doch die Führung eines typischen KMU kann sich diesen Luxus heute kaum leisten. Tatsächlich sollte die Botschaft der KMU-Führung heute lauten: "Passwort-Management ist viel mehr als ein IT-Problem."

In ihrer jährlichen Global Economic Crime Survey behauptet PwC, dass Nicht-IT-Führungskräfte allzu oft sehr bereit sind, die Verantwortung für die Cybersicherheit im Allgemeinen – wozu das Passwort-Management ein Schlüsselelement ist – an die IT abzugeben. PwC tadelt dann jene Organisationen und Führungskräfte, die dies tun, und sagt, dass praktisch alle Aspekte der Cybersicherheit, einschließlich des Passwort-Managements, "in die Kultur einer Organisation eingebettet sein müssen". Der Bericht stellt ferner fest, dass Nicht-IT-Führungskräfte "Cybersicherheit in ihre routinemäßigen Risikobewertungen einbeziehen und diesen Plan dann nach oben, unten und über Organisationsgrenzen hinweg kommunizieren müssen".⁴

Mit anderen Worten: Die Bedeutung des Passwort-Managements und einer guten Passworthygiene beginnt an der Spitze, oder sie beginnt möglicherweise gar nicht richtig.

4 Global Economic Crime Survey, PwC, 2016

BRANCHENFÜHRENDE PASSWORT-MANAGEMENT-LÖSUNG

Als führender Anbieter und anerkannter Marktführer für Remote-Verbindungs-, Passwort- und Anmeldedaten-Management für Sysadmins und IT-Profis bietet Devolutions ein umfassendes Passwort-Management-System, das unbefugten Zugang zu wichtigen digitalen Assets reduziert und gleichzeitig Insider-Angriffe vereitelt.

Devolutions legt großen Wert darauf, Kunden dabei zu helfen, die kritische Balance zwischen echter Sicherheit und Benutzerzugänglichkeit zu geschäftskritischen Daten zu finden. Devolutions erreicht dies unter anderem, indem privilegierte Passwörter für Benutzer und Administratoren gleichermaßen in einem verschlüsselten und gehärteten Tresor gesichert werden, bei gleichzeitiger Aufrechterhaltung einer produktiven Benutzererfahrung.