Wenn Passwörter in die falschen Hände geraten

Ein schwaches Passwort kann viel Ärger bereiten, wenn es in die falschen Hände gerät. Zugriffs- und Berechtigungskonzepte können davor schützen, müssen jedoch unternehmensweite Gültigkeit besitzen.

Ohne Sicherheitsstrategie mangelt es an Konzepten zur Absicherung unternehmenskritischer Daten. Durch mangelhaften Zugriffsschutz entstehen dann schnell Sicherheitsprobleme.

Der Missbrauch von Passwörtern gehört nach wie vor zu den Hauptursachen für Datendiebstähle und Rechnereinbrüche. Die Folge sind nicht nur materielle Schäden und Image-Verlust, auch juristische Konsequenzen drohen. Verantwortliche sollten daher ein unternehmensweites Konzept entwickeln, wie sensible Informationen geschützt werden. Die Basis bildet ein Zugriffs- und Berechtigungskonzept, wozu auch die Absicherung der Zugangsdaten durch ein Identity- und Access-Management (IAM) gehört.

Risiko Mitarbeiter

Vorhandene Zugriffskonzepte sind häufig veraltet, basieren also beispielsweise nur auf Passwörtern. Existiert ein sinnvolles Berechtigungskonzept, mag das noch angehen. Denn damit wird geregelt, welche Dateien und Informationen besonderen Schutz bedürfen und wer darauf überhaupt zugreifen darf. Für besonders sensible Informationen wird der Kreis der Berechtigten entsprechend eingeschränkt und Instruktionen für sichere Passwörter erlassen. Sollte ein Mitarbeiter ohne besondere Zugriffsberechtigungen ein zu einfaches Passwort gewählt haben oder dieses in falsche Hände geraten, ist der Schaden durch das Berechtigungskonzept zunächst beschränkt, weil auf sensible Informationen kein Zugriff besteht. Accounts mit Zugriff zu sensiblen Informationen benötigen aber immer strenge Schutzkonzepte.

Existiert hingegen kein ausgefeiltes Berechtigungskonzept, haben eventuell Mitarbeiter Zugriff auf sensible Daten, die diesen Zugriff gar nicht benötigen. Das stellt ein erhebliches Risiko da, weil vielen Mitarbeitern das nötige Sicherheitsverständnis fehlt, sie nicht hinreichend geschult sind oder ihnen gar nicht bewusst ist, welcher Schaden mit ihren Zugriffsrechten angerichtet werden kann. Hier lauern ungeahnte Gefahren.

Deshalb sind Sicherheitsstrategien mit Zugriffskonzepten dringend erforderlich. Die verwendeten Authentifizierungsverfahren sollten jedoch zu den geschützten Informationen und Daten passen. In vielen Bereichen ist ein reines Passwort nicht mehr ausreichend, sondern eine stärkere Authentifizierung notwendig, wie etwa das Zwei-Faktor-Verfahren, bei dem beispielsweise neben dem Passwort zusätzlich eine PIN übermittelt werden muss.

Privilegierte Accounts als Alternative

Eine Alternative bilden risikobasierte Authentifizierungen, die unter anderem den Browsertyp wiedererkennen und standortabhängig arbeiten. Dadurch können sie auch feststellen, dass zeitgleich zwei Anmeldungen von unterschiedlichen Orten erfolgen. Sicherheitsprodukte für risikobasierte Authentifizierung sind außerdem oftmals kostengünstiger, als zum Beispiel Zwei-Faktor-Systeme. Höchste Sicherheit attestieren Fachleute der zertifikatsbasierten Authentifizierungsmethode, etwa mittels Smartcards, wie sie häufig bei Hausausweisen Verwendung finden.

Eine Besonderheit bilden Funktions-Accounts, die zumeist für Administrationszwecke eingesetzt werden und die über zusätzliche Privilegien verfügen. Häufig sind diese schlechter gesichert als Nutzerkonten, dabei können sie erheblich größeren Schaden verursachen, weil sie wesentlich mehr Rechte besitzen. Auch sie müssen im Zugriffskonzept berücksichtigt werden. Zahlreiche Anbieter haben dafür Lösungen unter den Kürzeln PIM, PAM oder PUM im Angebot, was für Privileged Identity-, Privileged Access- oder Privileged User Management steht. Ein IAM besitzt einen besonders hohen Stellenwert, wenn ein Unternehmen in der Cloud arbeitet. Die hierbei verwendeten privilegierten Accounts bedürfen besonderer Absicherung.