Identitäts- und Zugriffsmanagement Cyber-Bedrohungen für den Mittelstand nehmen zu

Von Sandra Rios

Anbieter zum Thema

Das Coronavirus hat eine „digitale Pandemie“ ausgelöst. Besonders der Mittelstand ist stärker in den Fokus von Cyberkriminellen gerückt, da die Sicherheitsmaßnahmen an vielen Stellen nicht ausreichen.

Hacker wissen, wie sie potenzielle Sicherheitslücken in einer Remote-Infrastruktur ausnutzen. Sie sind Experten darin, in jeder Security-Strategie Schwachstellen zu finden.
Hacker wissen, wie sie potenzielle Sicherheitslücken in einer Remote-Infrastruktur ausnutzen. Sie sind Experten darin, in jeder Security-Strategie Schwachstellen zu finden.
(Bild: valerybrozhinsky - stock.adobe.com)

Durch Cyberangriffe entstehen hohe Kosten, die kleine und mittlere Unternehmen (KMU) in den Ruin treiben können. Eine Studie von Forsa im Auftrag des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV) belegt: Im Schnitt ist im produzierenden Gewerbe bereits jeder vierte Betrieb einem erfolgreichen Hacker-Angriff zum Opfer gefallen – mit finanziellen Schäden in mindestens fünfstelliger Höhe.

Zwar haben zahlreiche KMU die Pandemie genutzt, um ihre Sicherheitsmaßnahmen zu überprüfen. Vielerorts reicht ihr Schutz aber nach wie vor nicht aus – im Gegenteil: Einer Studie von IDC im Auftrag von LastPass zufolge hat der Homeoffice-Trend die Sicherheit in fast allen Unternehmen (98 Prozent) beeinträchtigt – vor allem durch ungesicherte mobile Geräte und ein nachlässiges Passwortverhalten. Cyberkriminelle kennen diese Schwachstellen und nehmen den Mittelstand verstärkt ins Visier.

Das Coronavirus hat eine „digitale Pandemie“ ausgelöst: Mittlerweile häufen sich Cyberattacken auf große und kleine Ziele gleichermaßen. Und während die Welt in Richtung Post-COVID-Zukunft geht, gibt es im Sicherheitsbereich nicht den geringsten Anlass für Lockerungen. Die Angriffe auf mittelständische Unternehmen sind seit Corona sogar noch gestiegen, auch durch die Herausforderung, eine immer größere Zahl von remote arbeitenden Beschäftigten verwalten zu müssen. Um ihre Daten zu schützen, können sich Firmen daher nicht mehr nur auf Protokolle, Richtlinien und Infrastrukturen aus der Zeit vor der Pandemie verlassen.

Mangelnde Passwort-Hygiene

Auch das Spektrum der Attacken hat sich in der Pandemie erweitert. Während einige Hacker immer ausgefeiltere Angriffe starten, um die Sicherheitsexperten zu überlisten, verlassen sich andere darauf, unvorbereitete Ziele mit einfachen und bewährten Methoden zu treffen.

Vor allem Social-Engineering-Attacken haben zugenommen. Laut LastPass-Studie haben bereits 83 Prozent der Unternehmen Sicherheitsvorfälle erlebt, die auf kompromittierte Passwörter oder Phishing zurückzuführen sind. Vielerorts reichen die Schutzmaßnahmen in privaten Netzwerken nicht aus. Eine große Gefahr sind aber auch die eigenen Mitarbeiter, die mit ungenügend gesicherten Geräten auf Firmendaten und -anwendungen zugreifen oder den Umgang mit Passwörtern nicht ernst genug nehmen. Fatale Entwicklungen, die das Infosec Institute so beschreibt: „Der Angreifer hackt sich nicht ein. Er meldet sich an – mit Ihren Log-in-Daten.“

Nachlässigkeiten bei Passwörtern sind ein Dauerproblem – nicht nur im privaten Bereich, sondern auch im Arbeitsleben. Denn den Mitarbeitern fällt es schwer, sich die oft mehr als 50 Passwörter zu merken, die sie für ihre Arbeit benötigen, daher verwenden sie für mehrere Konten dieselben Kennwörter. In einer Google-Umfrage von 2019 gaben 65 Prozent der Teilnehmer an, Passwörter mehrfach zu nutzen. Damit öffnen sie Hackern Tür und Tor und gefährden das gesamte Unternehmen. Das gilt vor allem für KMU: Laut LastPass-Studie haben die Mitarbeiter in 32 Prozent der kleineren Firmen mit zu vielen Passwörtern zu kämpfen. Eigentlich weiß jeder, dass ein sicheres Passwort mindestens 16 Zeichen lang ist und eine Mischung aus Groß- und Kleinbuchstaben sowie Zahlen und Symbolen enthält. Aber zwischen Bewusstsein und Handeln besteht eine große Diskrepanz.

Anmeldedaten aus dem Dark Web

Erschwerend kommt hinzu, dass es immer mehr Passwort-Marktplätze im Dark Web gibt, auf denen Cyberkriminelle Listen von Benutzernamen und Passwörtern kaufen können. Diese Listen nutzen sie dann für automatisierte Anmeldeversuche bei Diensten wie Microsoft 365 oder Google, die durch den Remote-Work-Trend zunehmend verbreitet sind. Haben die Hacker mit diesem sogenannten „Spray and Pray“-Ansatz ein Ziel erfolgreich anvisiert, können sie problemlos auf die jeweiligen Konten zugreifen – und das sogar oft, ohne Spuren zu hinterlassen. Sinnvoll ist es daher, einen Überwachungsdienst für das Dark Web einzurichten. Aber vor allem gilt es, der Mehrfachverwendung von Passwörtern Einhalt zu gebieten.

Wissen, was läuft

Täglich die wichtigsten Infos aus dem ITK-Markt

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Schuldzuweisungen sind allerdings fehl am Platz. Heutige Büroangestellte müssen auf verschiedene Tools und Systeme zugreifen. Gleichzeitig wird von ihnen erwartet, dass sie ihre Arbeit schnell und effizient erledigen. Sie können nicht auch noch Dutzende von Anmeldeinformationen verwalten. Wichtig ist daher, dass Unternehmen die richtigen Lösungen für das Identitäts- und Zugriffsmanagement einsetzen – beispielsweise einen Passwortmanager. Damit lassen sich sichere Kennwörter erstellen und speichern. Und wenn der Anwender zu einer Website zurückkehrt, werden die entsprechenden Anmeldedaten automatisch eingegeben. Mit benutzerfreundlichen Collaboration-Tools und einem Passwortmanager können Unternehmen das sichere Speichern von Anmeldeinformationen und einen verantwortungsvollen Umgang mit Kennwörtern fördern.

Vorbeugen ist besser als heilen

Einer Studie des BSI zufolge bezeichnen 26 Prozent der Unternehmen die Schäden, die ihnen durch einen Cyberangriff entstanden sind, als „sehr schwer“ oder sogar „existenzbedrohend“. Dabei verursachen die Attacken nicht nur hohe Kosten, sie können auch das Tagesgeschäft beeinträchtigen und die Reputation des Unternehmens schädigen. Immer mehr Sicherheitsverantwortliche räumen daher Investitionen in Cybersecurity eine hohe Priorität ein. So wollen laut BSI 81 Prozent der Unternehmen ihre Mitarbeiter regelmäßig in Sachen Sicherheit schulen. Priorität haben zudem Maßnahmen, die für die Sicherheit der remote arbeitenden Beschäftigten relevant sind – darunter VPN (66 Prozent der Nennungen), die Verschlüsselung von Datenträgern (65 Prozent), Multi-Faktor-Authentifizierung (52 Prozent), die Segmentierung von Netzen (51 Prozent) sowie Mobile Device Management (38 Prozent). Die Reaktion auf einen potenziellen Angriff regelmäßig zu üben, gaben 24 Prozent an.

Angesichts der Leichtigkeit, mit der Hacker Nachlässigkeiten im Umgang mit Passwörtern ausnutzen können, ist ein Ergebnis der Studie jedoch besorgniserregend: Fast ein Drittel der Unternehmen gab an, eine kleine Firma brauche keine Lösungen wie Single Sign-On (SSO) und Multi-Faktor-Authentifizierung (MFA). Erwiesenermaßen ist kein Unternehmen zu klein, um zum Ziel für Cyberkriminelle zu werden. Alle Firmen, auch kleine Betriebe, brauchen einen starken Passwort- und Zugangsschutz.

Mit Single Sign-On (SSO) können sich Mitarbeiter mit einem Satz von Login-Daten anmelden, die auf ihrer Identität und ihren Berechtigungen basieren. Sie müssen sich also nicht mehrere starke Passwörter merken. Zudem haben die IT-Administratoren damit den Überblick, welche Benutzer Zugriff auf welche Anwendungen haben, und können diesen je nach Bedarf genehmigen oder aufheben. Bei MFA generiert eine spezielle App einen Code, der an das Smartphone des Nutzers gesendet wird. Damit lässt sich beweisen, dass sich die richtige Person anmeldet. Jeder unbefugte Zugriff wird in Echtzeit unterbunden.

Risiko Mitarbeiter

Heutige Hacker wissen, wie sie potenzielle Sicherheitslücken in einer Remote-Infrastruktur ausnutzen. Sie sind Experten darin, in jeder Security-Strategie bestehende Schwachstellen zu finden. Die größte Bedrohung für die Sicherheit eines Unternehmens sind allerdings die eigenen Mitarbeiter: 85 Prozent der Sicherheitsverletzungen sind auf menschliches Versagen zurückzuführen. Eine sichere Infrastruktur spielt damit nur eine untergeordnete Rolle. Die Unternehmen müssen es ihren Mitarbeitern vielmehr leicht machen, sich sicher zu verhalten, ohne dass ihre Arbeit darunter leidet. Auch für KMUs ist es daher wichtig, ihre Mitarbeiter über den richtigen Umgang mit Kennwörtern sowie über SSO und MFA aufzuklären.

Vor allem die Einführung eines Passwortmanagers ist eine einfach umzusetzende, benutzerfreundliche und höchst effektive Maßnahme. Damit können die Mitarbeiter auf Tools zugreifen, die sie für ihre Arbeit benötigen. Gleichzeitig spielen sie bei der Verteidigung gegenüber potenziellen Angreifern eine zentrale Rolle. Den Analysten von IDC zufolge nutzen 45 Prozent der Unternehmen einen Passwortmanager beziehungsweise eine EPM-Lösung (Enterprise Passwort Management). Ebenfalls 45 Prozent würden zwar auch gerne SSO und MFA einsetzen, ihnen fehlt jedoch das Budget für eine komplexere Identitätslösung.

Einen eigenen Sicherheitsexperten kann sich ebenfalls nicht jedes kleine Unternehmen leisten. Aber es gibt professionelle Berater, die helfen können. Don Macintyre, Interims-CEO des britischen Cyber Security Council bringt es auf den Punkt: „Ein einziges Gespräch mit einem Sicherheitsexperten und ein paar einfache Maßnahmen genügen schon. Damit kann jedes Unternehmen sich und seine Kunden schützen und sich wieder voll auf das Geschäft konzentrieren.“

Die neuen Arbeitsmodelle bieten auch für KMU viele Vorteile, da sie ihre Flexibilität und Agilität erhöhen. Ohne die richtigen Identitäts- und Zugangskontrollen lassen sich die wachsenden Sicherheitsrisiken jedoch nicht bewältigen. Gefragt sind umfassende und benutzerfreundliche Lösungen, mit denen die Mitarbeiter ihre Arbeit von jedem Standort sicher erledigen können – unabhängig von der Unternehmensgröße.

Über die Autorin: Sandra Rios ist seit März 2022 Head of LastPass Business und Expertin für Cybersecurity, Datenschutz und natürlich Passwörter. Sie sammelte an verschiedenen Stationen Erfahrungen im Bereich Produktmanagement, zuletzt war sie vier Jahre lang für GoTo, ehemals LogMeIn, tätig.

(ID:48535378)