IT-Sicherheit: Warum Passwörter allein nicht (mehr) ausreichen

IT-Sicherheit erreicht ein neues Level. Einmal am Tag ein Passwort einzugeben für den Zugriff auf sämtliche Daten, reicht schon lange nicht mehr aus, aber auch klassische perimeterbasierte IT-Sicherheit ist nicht mehr zeitgemäß.

Nahaufnahme Hände am Laptop, Visualisierung eines Sicherheitsprozesses mit geschlossenem Schloss-Symbol

In den Medien häufen sich die Meldungen zu Cyber-Kriminalität: Anfang Februar machte ein weltweiter Ransomware-Angriff Schlagzeilen, aber auch die Liste bekannter Unternehmen, die von Hacker-Angriffen und Datendiebstahl betroffen sind, wird immer länger – Häfele, PayPal, IHK, Thyssenkrupp etc., um nur ein paar Beispiele zu nennen, die es in den letzten Monaten getroffen hat. Aber wie kommt es dazu? Wo sind die Schwachstellen in der IT-Sicherheit, die es Eindringlingen leicht machen? Und vor allem: Wie schließt man die Sicherheitslücken?

Beim weltweiten Ransomware-Angriff waren EXSi-Server, die verschlüsselt wurden, die Schwachstelle. Dabei hätte das Einspielen der vom Hersteller bereits Anfang 2021 empfohlenen Sicherheits-Patches helfen können. Hier zeigt sich, dass Unternehmen leider noch zu oft an veralteten Sicherheitsstrukturen festhalten, weil sie sich sicher fühlen und die Gefahr nicht (er-)kennen.

Klassische IT-Sicherheitsstrategien sind nicht mehr up to date

Klassische IT-Sicherheitsstrategien sind so konzipiert, dass die Gefahren für ein Unternehmen immer nur außerhalb des Netzwerks gesehen werden. Interne Geräte, Dienste und Benutzer*innen gelten folglich als vertrauenswürdig. Somit werden auch nur Maßnahmen umgesetzt, die sich nach außen richten. Ein entscheidender Nachteil eines traditionellen netzwerkzentrierten Sicherheitsmodells ist aber, dass ein Eindringling, sobald er es ins Unternehmensnetzwerk geschafft hat, sich ungehindert darin bewegen kann, weil kaum noch Sicherheitsvorkehrungen vorhanden sind. Unberücksichtigt bleibt außerdem das Risiko, das von den eigenen Mitarbeitenden ausgeht – sei es durch unbewusste oder bewusste Handlungen.

Digitalisierung als Treiber neuer IT-Sicherheitsmodelle

Die Zeiten, in denen es ausgereicht hat, einmal am Tag ein x Zeichen langes Passwort einzugeben, um vollen Zugriff zu erhalten, sind längst vorbei. Mit der Nutzung von Cloud-Services, privaten Endgeräten und der Einführung von mobilem Arbeiten ergeben sich Szenarien, die weitaus mehr Sicherheitsvorkehrungen benötigen als einen einfachen Passwortschutz. Ein Unternehmen wird dadurch über viele verschiedene Stellen angreifbar und sollte eine vollumfängliche Strategie für seine IT-Sicherheit entwickeln sowie eine entsprechende Infrastruktur implementieren.

Wie oben bereits erwähnt, ist es ein Irrglaube, die Gefahren würden ausschließlich außerhalb des eigenen Netzwerks bzw. außerhalb des Unternehmens lauern. Mit Einführung des mobilen Arbeitens greifen die Mitarbeitenden beispielsweise im Homeoffice über ihr privates Netzwerk und unterwegs über ein öffentliches Netzwerk auf die Unternehmensdaten zu. Ein Unternehmen muss also bereits im Hinblick auf die eigenen Mitarbeiter*innen und die verschiedenen Arbeitsmodelle Vorsicht walten lassen und von überall für eine sichere Verbindung sorgen bzw. den sicheren Zugriff auf Daten gewährleisten und im besten Fall jeden Zugriff einer Identitätsprüfung unterziehen.

Ohne eine gesicherte Verbindung und den geschützten Zugriff egal von wo und mit welchem Endgerät ergeben sich enorme Risiken für ein Unternehmen und seine Daten.

Ein Beispiel zur Veranschaulichung

Herr Mustermann ist Lagerarbeiter und nutzt sein privates Endgerät, um den Schichtplan der kommenden Woche aufzurufen. Sein Mobilgerät wird weder von der Firmen-IT verwaltet noch gibt es eine Verschlüsselung der Verbindung oder eine weitreichende Identitätsprüfung. Herr Mustermann gibt lediglich an einer Stelle ein Passwort ein, um den Plan herunterladen zu können. So hat ein Hacker leichtes Spiel und kann ins Unternehmensnetzwerk eindringen. Er gelangt an den Schichtplan und kann sich die darin enthaltenen Informationen zu Nutze machen. Zum Beispiel kann der Eindringling jede beliebige Identität der dort eingeteilten Mitarbeitenden stehlen. Der Hacker weiß, wer wann arbeitet und kann dieses Wissen nutzen, um wiederum an weitere Unternehmensinformationen und -daten zu gelangen. Ohne Identitätsprüfung ist nicht nachvollziehbar, wer sich im Firmennetzwerk bewegt oder wer auf Daten zugreift.

Ganzheitliche IT-Sicherheit: Mehrdimensional aufgestellt sein

Es braucht also weitaus mehr als ein Passwort, um die digitalen Daten eines Unternehmens zu schützen und den Mitarbeitenden von überall geschützten Zugriff zu gewähren. Unternehmen müssen Lösungen zur Identitäts- und Zugriffsverwaltung (IAM) einsetzen, z. B. Multifaktor-Authentifizierung und Identitätsverbund, um sicherzustellen, dass nur autorisierte Benutzer*innen und Ressourcen auf das Netzwerk zugreifen. Darüber hinaus können sie mit einem UAM-System (UAM = Unified Access Management) die geringst benötigte Berechtigung für die jeweilige Nutzeraktion erteilen und nach der Aktion wieder entfernen.

Unternehmen sollten außerdem Technologien wie Netzwerksegmentierung und Mikrosegmentierung einsetzen, um das Risiko eines unbefugten Zugriffs weiter zu verringern. Die Netzwerksegmentierung isoliert kritische Ressourcen vom öffentlichen Internet, während die Mikrosegmentierung separate Zonen innerhalb des Netzwerks für verschiedene Benutzer*innen, Ressourcen und Anwendungen schafft. Darüber hinaus gibt es auch die Möglichkeit, Netzwerkkonnektoren mit einer Verwaltung für Benutzerberechtigungen zu kombinieren, um jede Verbindung mit den Nutzerberechtigungen freizugeben oder abzulehnen.

Kreislauf 6 Säulen des Zero-Trust-Modell, Identity mit Fingerabdruck Icon, Endpoints mit Desktop- und Mobilgeraete-Icon, Data mit nullen und einsen Icon, Apps mit Smartphone Oberflaeche Icon, Infrastructure mit Festplatten Icon, Network mit Netzwerk Icon, Schild in der Mitte mit Schriftzug Zero-Trust-Prinzip
Kreislauf 6 Säulen des Zero-Trust-Modell, Identity mit Fingerabdruck Icon, Endpoints mit Desktop- und Mobilgeraete-Icon, Data mit nullen und einsen Icon, Apps mit Smartphone Oberflaeche Icon, Infrastructure mit Festplatten Icon, Network mit Netzwerk Icon, Schild in der Mitte mit Schriftzug Zero-Trust-Prinzip

Das IT-Sicherheitsprinzip Zero Trust

Die Expert*innen von ORBIT richten sich bei ihrer Beratung, Entwicklung und Umsetzung von IT-Sicherheitskonzepten nach dem Zero-Trust-Ansatz. Dieser verfolgt die Annahme, dass weder Geräte noch Dienste und Anwender*innen vertrauenswürdig sind und somit einer ständigen Überprüfung unterliegen müssen. Dieser Ansatz soll den unbefugten Zugriff auf sensible Daten verhindern, unabhängig davon, ob sich der*die Benutzer*in oder die Ressource innerhalb oder außerhalb der Unternehmensgrenzen befindet. Das proaktive Modell für IT-Sicherheit geht sogar so weit, jederzeit von einem erfolgreichen Angriff subversiver Gruppen auszugehen. Es geht einerseits um Gefahrenvermeidung und andererseits um Schadenseindämmung, wenn es zu einem Vorfall gekommen ist.

Ein entscheidender Vorteil von Zero Trust ist, dass es sich um einen ganzheitlichen IT-Sicherheitsansatz handelt, der mehrere Technologien und Prozesse umfasst. Zero-Trust-Sicherheit baut auf 6 Säulen auf, um vollumfänglichen Schutz bieten zu können:

  1. Identity: Authentifizierung jeder Identität und jedes Zugriffs durchführen
  2. Endpoint: Endgeräte vor Bedrohungen schützen und Integrität prüfen
  3. Data: Daten klassifizieren und schützen sowie den gesamten Datenverkehr verschlüsseln
  4. Apps: Berechtigungen und Zugriffe auf Anwendungen in Echtzeit überprüfen und eingrenzen
  5. Infrastructure: Telemetriedaten in Echtzeit auswerten und für automatische Aktionen nutzen
  6. Network: Unbefugten Zugriff und andere Bedrohungen im Netz durch Netzwerksegmentierung verhindern

Es geht bei Zero Trust aber nicht allein um den Schutz vor Bedrohungen, sondern auch um die Einhaltung von Compliance-Richtlinien. Unternehmen reduzieren also mit der Umsetzung des Zero-Trust-Prinzips erheblich das Risiko angegriffen zu werden und den Datenschutz zu verletzen.

Fazit

Um ein Unternehmen und seine digitalen Daten optimal absichern zu können, braucht es eine ganzheitliche Strategie für IT-Sicherheit. Zero Trust ist aufgrund des proaktiven und mehrdimensionalen Ansatzes ein moderner Vorstoß, die Risiken für Unternehmen zu reduzieren und sie vor Cyber-Angriffen und anderen Gefahren zu schützen.

Wie gut ist Ihr Unternehmen geschützt?

Ermitteln Sie anhand unserer 6 Fragen zu Zero Trust Ihren Ist-Zustand und erfahren Sie anschließend in einem Gespräch mit unseren Expert*innen, wie Sie Ihre IT-Sicherheitsstrategie optimieren können. Sie erhalten erste Anhaltspunkte, wo Sie Ihre Infrastruktur gut aufgestellt haben, wo sich Schwachstellen in Ihrem Unternehmen befinden und wie Sie diese nach Zero Trust beheben können.

Ihr Ansprechpartner : Ben Witt

Aktuelle Beiträge

Aktuelle Veranstaltungen bei ORBIT

  • Online-Seminar | E-Rechnung – ab 2025 Pflicht | 11.09.2024

    Machen Sie sich fit für den Empfang und Versand von E-Rechnungen, der am 1. Januar 2025 verpflichtend geregelt sein muss. Gerne in unserem Online-Seminar zum Thema "E-Rechnung"!

  • Online-Seminar | KI im Vertrieb – das bringt‘s wirklich!

    Eins steht fest: Microsoft-KI Copilot macht Ihr bestehendes CRM-System schlauer!

  • Online-Seminar | ERP On-Premises | 24.09.2024

    Microsoft sagt: “Cloud first!” Hat ERP On-Premises eine Zukunft? Erika Siebert und Sven Oelker beantworten alle Fragen zu Lizenz-Änderungen von MS Dynamics 365 Navision/BC.

  • Online-Seminar | E-Rechnung – ab 2025 Pflicht | 12.11.2024

    Machen Sie sich fit für den Empfang und Versand von E-Rechnungen, der am 1. Januar 2025 verpflichtend geregelt sein muss. Gerne in unserem Online-Seminar zum Thema "E-Rechnung"!