Der Domino-Effekt: Eine Schritt-für-Schritt-Anleitung für Unternehmen zum Schutz der Identität im Internet

Trotz der jüngsten Verlautbarung des Mannes, der eine „Bibel“ zur Passwortsicherheit geschrieben hat, dass sein Ratschlag „falsch“ gewesen sei, geben wir Passwörter nicht auf. Nach wie vor sind Passwörter der effektivste und benutzerfreundlichste Weg für eine Person oder Organisation, ein Konto oder eine Dienstleistung zu sichern.

Wörter und Buchstaben mit einer Bedeutung sind viel leichter zu merken als Zahlen. Deshalb vergessen die Menschen zum Beispiel häufig ihre Geheimzahlen. Und während biometrische Daten eine Rolle spielen, sind sie weiterhin geräte- und endpunktzentriert, während Passwörter geräteunabhängig sind.

Der beste Ansatz für den Sicherheitsbereich ist vielschichtig und nutzt das gesamte Spektrum der verfügbaren Tools und Best Practices. Und bis jede Anwendung und jedes System den Passwort-Pfad verlassen hat, ist es von entscheidender Bedeutung, dass wir sie entsprechend verwalten.

 Vorsicht vor dem „Dominoeffekt“

Es ist unwahrscheinlich, dass Sie nichts über einige der jüngsten Sicherheitsverletzungen erfahren haben. HBO, Bupa und Amazon – um nur ein paar zu nennen. Was ist mit den älteren Verletzungen? Sicherlich haben wir aufgrund dieser historischen Ereignisse mittlerweile die Gefahrenzone verlassen. Falsch. Dropbox wurde vor über fünf Jahren geknackt und fast 70 Millionen Konten waren betroffen. Das ist nicht wenig. Noch interessanter ist jedoch – und wir warnen die Unternehmen schon seit einiger Zeit davor –, dass dieser Verstoß offenbar mit einem anderen, ebenfalls sehr prominenten Verstoß verbunden war.

Der Dropbox-Mitarbeiter, dessen Passwort bei dem Verstoß missbraucht wurde, hatte sein Passwort ursprünglich bei dem berühmten LinkedIn-Verstoß im Jahr 2016 exponiert. Dies veranschaulicht einen interessanten „Verkettungs-“ oder „Dominoeffekt“, den Datenverstöße über mehrere Organisationen hinweg haben können. Das ist nur die Spitze des Eisbergs. Wer weiß, wie lange es dauert, bis wir vom nächsten Verstoß in der Kette hören? Leider wurde dies als der neue Status quo akzeptiert: drei von fünf Organisationen erwarten, dass sie 2017 verletzt werden, wobei 29 Prozent glauben, dass sie nicht einmal wissen werden, dass sie verletzt wurden, wenn es passiert.

Nach wie vor verwalten Menschen ihre Passwortsicherheitsrichtlinien nicht richtig - sei es aufgrund von Arbeits- oder Zeitdruck oder wegen mangelndem Zugang zu Cybersicherheitstrainings. Eine unzulängliche Passwort-Hygiene wird von bis zu 25 Prozent der Unternehmen als ein Bereich mit hohem Risiko angesehen.

Aus diesem Grund haben wir einen Schritt-für-Schritt-Leitfaden für Unternehmen erstellt, der sie bei der Umsetzung von Präventivmaßnahmen zur Verhinderung des „Dominoeffekts“ unterstützt.

  1. Sagen Sie JA zu regelmäßigen Updates

„Morgen noch einmal erinnern“ ist keine Option, die Sie Tag für Tag erneut klicken sollten, wenn Sie eine Benachrichtigung über wichtige Software-Updates erhalten. Updates zu ignorieren ist etwas, was wahrscheinlich jeder schon einmal gemacht hat. Wir haben alle viel zu tun, mit einer Fülle von E-Mails und Benachrichtigungen, die täglich nach unserer Aufmerksamkeit verlangen. Und vielleicht glauben Sie, dass Sie zu beschäftigt sind, um auf den Neustart Ihres Handys oder Computers zu warten, und dann müssen Sie sich möglicherweise wieder in Ihre Konten einloggen, sobald das Gerät wieder einsatzbereit ist. Aber nicht immer ist der Grund für Software-Updates, um Ihnen neue Funktionen zu bieten, sondern vielmehr um Probleme zu beheben, die Sie nicht sehen können und die Ihre Daten angreifbar machen. Eine Schwäche in der von Ihnen verwendeten Software ist eine Schwachstelle in der Sicherheit.

  1. Nutzen Sie die Vorteile von Multi-Faktor-Authentifizierungssystemen

Multifaktor-Authentifizierung (MFA) ist ein Sicherheitssystem, das zur Prüfung der Identität des Benutzers für eine Anmeldung oder eine andere Transaktion mindestens zwei Authentifizierungsmethoden benötigt. Sie hat den Vorteil, Sicherheit und Benutzerfreundlichkeit in Einklang zu bringen, indem sie etwas, das Sie haben – wie etwa ein Mobiltelefon – mit etwas, das Sie kennen – z. B. dem Namen Ihres ersten Haustiers oder Schullehrers – kombiniert. Sites wie Google und PayPal bieten diese Dienste an. Das Ergebnis ist letztendlich eine höhere Sicherheit, dass die richtige Person Zugang erhält. Dadurch wird diese Methode der Sicherheitskontrolle immer häufiger eingesetzt. Es gibt auch die Möglichkeit, Änderungen an risikobehafteten Benutzerinformationen per Telefon, SMS oder E-Mail zu verifizieren.

  1. Passwörter aktualisieren (und stark machen)

Jeder hat mehrere Konten, von E-Mail über Bankkonten bis hin zu Social Media, so dass es durchaus möglich ist, dass viele Menschen die gleichen Passwörter für mehrere Sites verwenden. Unsere Recherchen zeigen, dass bis zu 65 Prozent der Menschen dies tun. Dies ist aus offensichtlichen Gründen alarmierend, insbesondere wenn man bedenkt, wie viele Hacker ihre Aufmerksamkeit auf die aktive Ausbeutung des Faktors Mensch gerichtet haben. Sie sollten nicht nur sicherstellen, dass Ihre Passwörter stark sind, sondern diese auch regelmäßig aktualisieren. Einige Websites empfehlen oder verlangen sogar, dass Sie Ihr Passwort ändern, wenn eine Sicherheitsbedrohung erkannt wird oder ein Verstoß vorliegt. Andere verlassen sich strikt auf Ihre Initiative. Implementieren Sie Ihre eigene Good Governance und aktualisieren Sie Ihre Passwörter so oft wie möglich, um sicherzustellen, dass Sie nicht dem Dominoeffekt zum Opfer fallen.

  1. Tragen Sie immer Ihren Sicherheitshut

Die größte Sicherheitsbedrohung eines Unternehmens ist der Mensch. Social Engineering und menschliches Versagen waren die Ursache für viele größere Verstöße.  Seien Sie sich immer bewusst, wo Sie sich im Internet befinden, und notieren Sie sich alles und jeden, der Sie auffordert, sich „einzuloggen“ oder irgendwelche „Geheimnisse“ oder personenbezogene Daten anzugeben. Achten Sie in der Adressleiste Ihres Browsers auf HTTPS-fähige Websites. Wenn Sie kein kleines Schloss neben der URL sehen, beachten Sie, dass die Site nicht sicher ist.

  1. Zugriff und Identität verwalten

Der Schutz von Identität ist der Schlüssel: zur Sicherheit unserer personenbezogenen Daten, zur Sicherheit von vertraulichen Unternehmensdaten und zur Sicherheit von vertraulichen Daten an anderer Stelle im Unternehmen, die nicht einmal mit Ihnen in Verbindung gebracht werden können. Finden Sie heraus, wer Zugriff auf was hat, was er mit diesem Zugriff macht, und verwalten Sie diesen Zugriff während des gesamten Lebenszyklus eines jeden Benutzers. Wenn Sie dies tun, sind Sie auf dem Weg zu einem intelligenteren, stärkeren und proaktiveren Identitäts- und Zugriffsmanagement sowie zu einer besseren allgemeinen IT-Sicherheitslage in Ihrem Unternehmen.


Diskussion