Eine Mitarbeiterin sitzt auf der Arbei vor zwei Bildschirmen.

Mittelständischen Unternehmen fehlt es oftmals an Knowhow, um das Thema Cybersecurity anzugehen.

Eine Disziplin im weiten Feld der Cybersecurity ist in den vergangenen Jahren besonders ins Augenmerk der Sicherheitsexperten gerückt: Das Identitäts- und Zugangsmanagement, neudeutsch abgekürzt: IAM. Es handelt sich dabei um Techniken und Prozesse, die darauf ausgerichtet sind, dass die jeweils Berechtigten auf Ressourcen und Datenbestände zugreifen können, alle anderen aber draußen bleiben. Was klingt wie eine vergleichsweise triviale Aufgabe – wer das Passwort kennt, darf rein, wer nicht, bleibt draußen –, hat sich zu einer Sisyphusaufgabe entwickelt, denn die missbräuchliche Verwendung gestohlener digitaler Identitäten boomt. Im Zeitalter der Digitalisierung lässt sich mit der richtigen Kombination aus Usernamen und Kennwort unter Umständen viel Geld zusammenklauen – und in einem Unternehmensnetz auch großer Schaden anrichten.

An die Öffentlichkeit gelangen vor allem Fälle, bei denen die Breitenwirkung groß ist, etwa das Abräumen von Payback-Konten oder der Onlineeinkauf zulasten gehackter Bankkonten. Dabei ist Identitätsdiebstahl keineswegs eine weit entfernte Bedrohung, die sowieso nur andere betrifft: In einer Umfrage des Cybersecurity-Unternehmens Tenable unter mehr als 100 deutschen Unternehmenskunden gaben immerhin 36 Prozent der Befragten an, in den letzten zwölf Monaten von einem Identitätsdiebstahl betroffen gewesen zu sein. Diese Art von Angriffen erwies sich damit als dritthäufigste Erscheinungsform im Bereich der Cyberkriminalität überhaupt.

Autos werden zu Akteuren im Cyberspace

Für die Autoindustrie ergibt sich eine zusätzliche Bedrohung, denn nicht nur Büro-IT und Produktionsrechner sind potenzielle Angriffsziele, sondern zunehmend auch die Fahrzeuge selbst. „Das Benutzererlebnis der Kunden hängt in Zukunft verstärkt von der IT ab, etwa durch Apps im Fahrzeug“, sagt Andreas Fahr, Partner und Automobilexperte beim Technologieberatungsunternehmen Information Services Group (ISG). „Die Fahrzeuge selbst werden zu Akteuren im Cyberspace.“ Damit werden die digitalen Identitäten von Fahrzeug und Fahrer zunehmend zur Basis für neue Geschäftsmodelle. Wird eine solche Identität missbräuchlich verwendet, so steht für den Fahrzeughersteller viel auf dem Spiel. Im Feuer stehen dann die Kundenbeziehung ebenso wie das Image des Herstellers, von Haftungsfragen ganz zu schweigen.

Auch der jüngste Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) geht auf die Problematik ein. Als wichtigste „Diebeswerkzeuge“ für den Identitätsklau nennen die BSI-Experten Phishing-Angriffe, zunehmend auch deren weiterentwickelte Variante des „Spear Phishing“ sowie spezielle Schadsoftware. Auch ohne direkte Beteiligung des Opfers können Identitätsdaten entwendet werden, wie etwa durch Datenleaks – in entsprechenden Darknet-Foren werden umfangreiche Sammlungen von Kombinationen aus geleakten Usernamen und zugehörigen Passwörtern angeboten. Dass deren Qualität und Aktualität oft zweifelhaft ist, sollte für User kein Grund sein, sich in falscher Sicherheit zu wiegen und bei der Wahl von Passwörtern und der Konfiguration ihrer IT-Systeme weniger Sorgfalt walten zu lassen.

„Der Identitätsdiebstahl wird Tätern zum Teil leichtgemacht, zum Beispiel durch die Nutzung von ungeschützten, öffentlichen Cloudspeichern oder Fehlkonfigurationen. Aber auch unzureichend gepatchte Systeme oder Zero-Day-Exploits bieten Angreifern die Möglichkeit, Daten auszulesen“, heißt es in dem BSI-Bericht. Dass aber das größte Sicherheitsproblem vor dem Bildschirm sitzt, darüber sind sich die meisten IT-Manager und Security-Fachleute ohnehin einig. „Zwei Dinge sind aus unserer Sicht besonders risikobehaftet“, erklärt Frank Heuer, Security-Experte bei ISG. „Dieses sind der menschliche Faktor – und der spielt die größte Rolle. Mitarbeiter öffnen schon mal Mailanhänge, die Schadsoftware enthalten können, oder sie geben Informationen heraus, die sie nicht herausgeben sollten.“ Der zweite Faktor sei die Zeitdauer bis zur Entdeckung von Malware, die durchaus viele Tage und Wochen betragen könne, während der sich die Malware im Unternehmensnetz verbreite, so Heuer.

Identity as a Service

Vor diesem Hintergrund ist es wenig verwunderlich, dass Identitäts- und Zugangsmanagement einen Boom erlebt. In den Unternehmen ist die Erkenntnis gewachsen, dass damit nicht nur die digitalen Identitäten von Mitarbeitern und Kunden zu schützen sind, sondern auch vernetzte Produktionsumgebungen und ganze Unternehmensbereiche. Einzelmaßnahmen wie die Verwendung sicherer Passwörter, Zwei-Faktor-Authentifizierung und Schulungen zur Schärfung des Bewusstseins der Mitarbeiter sind allenfalls Schritte in die richtige Richtung, jedoch kein Ersatz für eine umfassende IAM-Strategie. Doch Installation, Konfiguration und Betrieb von Systemen zum Verwalten von Benutzeridentitäten und Zugriffsberechtigungen verlangen teils erhebliche Fachkenntnisse.

Das dürfte einer der Gründe dafür sein, warum bei IAM-Lösungen eine Verschiebung vom Eigenbetrieb zu Dienstleistungen aus der Cloud festzustellen ist, das Stichwort lautet Identity as a Service (IDaaS). Der Vorteil von IAM-Services aus der Cloud laut ISG: Sie sind einfacher zu handhaben. Für mittelständische Betriebe, die mit dem Betrieb einer solchen Anwendung in Eigenregie überfordert wären, rückt das Identitätsmanagement damit überhaupt erst in den Bereich des Möglichen. Dazu kommt, dass Fachkräfte für IT-Security nicht leicht zu akquirieren sind. „Gerade für den Mittelstand ist es schwer, ein solches Knowhow einzukaufen – die Großunternehmen können sich solche Spezialisten viel leichter leisten“, sagt ISG-Experte Heuer. Mit IDaaS dagegen könne man diese Sorge getrost dem beauftragten Anbieter überlassen.

Kostenlose Registrierung

Bleiben Sie stets zu allen wichtigen Themen und Trends informiert.
Das Passwort muss mindestens acht Zeichen lang sein.
*

Ich habe die AGB, die Hinweise zum Widerrufsrecht und zum Datenschutz gelesen und akzeptiere diese.

*) Pflichtfeld

Sie sind bereits registriert?