Mitarbeiter im Serverraum

In vielen Unternehmen fehlt es bei der Umsetzung von Sicherheitsstrategien am nötigen Budget sowie der Unterstützung des Top-Managements. (Bild: Adobe Stock / Framestock)

Hauptgründe für gescheiterte Einführungen von Maßnahmen für mehr Sicherheit sind meist knappe Budgets und die mangelnde Unterstützung durch die Geschäftsführung, wie eine Befragung durch den Sicherheitsanbieter Delinea unter 2.100 Security-Entscheidern zeigt.

Rund 60 Prozent der IT-Sicherheitsentscheider in Deutschland sind demnach der Meinung, die eigene Strategie halte nicht mit der aktuellen Bedrohungslage Schritt. Obwohl 40 Prozent der Befragten überzeugt sind, über eine adäquate Sicherheitsstrategie zu verfügen, mussten 84 Prozent zugeben, dass ihr Unternehmen in den letzten anderthalb Jahren eine Identitäts-bezogene Kompromittierung oder einen Angriff erlebt hat, der auf gestohlene Anmeldedaten zurückzuführen ist.

Sicherheitsbewusstsein schlägt sich nicht in der Praxis nieder

Das Bewusstsein für die Notwendigkeit entsprechender Schutzmaßnahmen ist in der Mehrheit der Unternehmen durchaus vorhanden. So geben neun von zehn Befragten an, dass ihr Unternehmen die Bedeutung von Identitätssicherheit voll und ganz erkennen. Gleichzeitig befürchten jedoch drei Viertel der befragten Experten, dass ihre Schutzmaßnahmen in diesem Bereich zu kurz greifen.

Unternehmen haben bei der Absicherung von privilegierten Identitäten und Zugriffen noch einen weiten Weg vor sich, konstatieren die Studienautoren. Weniger als die Hälfte der befragten Firmen etwa hat für die Verwaltung entsprechender Zugänge Sicherheitsrichtlinien und -prozesse definiert, rund 52 Prozent erlauben es privilegierten Benutzern, ohne Multi-Faktor-Authentifizierung auf sensible Daten und Systeme zuzugreifen.

Automatische Datenabrufe bieten Einfallstore

Nachholbedarf besteht ebenfalls in vielen Unternehmen hinsichtlich des automatischen Datenabrufs. Nur 44 Prozent der Studienteilnehmer sichern maschinelle Identitäten wie Dienst- und Anwendungskonten hinreichend ab.

„Cyberkriminelle suchen immer nach dem schwächsten Glied, und das Übersehen von ‚nicht-menschlichen‘ Identitäten – vor allem in Zeiten, in denen diese schneller wachsen als menschliche Nutzer – erhöht das Risiko von Privilegien-basierten Angriffen erheblich“, kommentiert Joseph Carson, Chief Security Scientist und Advisory CISO bei Delinea. „Wenn Angreifer Maschinen- und Anwendungsidentitäten anvisieren, können sie sich leicht verstecken und im Netzwerk bewegen, um den besten Ort für einen Angriff zu finden, wo sie den größten Schaden anrichten können.“ Unternehmen müssten daher Best Practices befolgen und Sicherheitsstrategien so ausformulieren, dass „Superuser-Konten“, die komplette Betriebe lahmlegen können, besonders geschützt seien.

Sie möchten gerne weiterlesen?