Identity
Identitätssicherheit: Warum angemessene Kontrollen auf der Strecke bleiben
IT-Sicherheit: Unternehmen hinken hinterher
Die Herausforderungen für IT-Abteilungen und Sicherheits-Verantwortliche in Unternehmen steigen seit geraumer Zeit immer weiter an. Dies liegt unter anderem an der zunehmenden Migration in die Cloud, immer komplexeren Anwendungen, aber auch daran, dass Unternehmen immer häufiger Opfer von Datenschutzverletzungen und Cyberangriffen, etwa von Ransomware, werden. Wie aus dem vom Bundeskriminalamt veröffentlichten aktuellen Bundeslagebild Cybercrime hervorgeht, hat die Zahl der in Deutschland erfassten Cyberstraftaten mit 146.363 Delikten im vergangenen Jahr einen neuen Höchstwert erreicht und stieg um mehr als zwölf Prozent im Vergleich zum Vorjahr.
Eine sich stetig ändernde und sich kontinuierlich verschärfende Bedrohungslandschaft erfordert von Unternehmen eine flexible, stets die neuen Risiken angepasste Sicherheitsstrategie. Diese zu entwickeln und erfolgreich umzusetzen, ist für die Verantwortlichen jedoch nicht immer leicht, wie eine neue CISO-Studie von Delinea offenbart. So gab über die Hälfte der befragten IT-Sicherheitsentscheider an, dass ihre momentane Sicherheitsstrategie nicht mit der aktuellen Bedrohungslage Schritt hält. 20 Prozent der Befragten glauben demnach, dass sie mit ihren Sicherheitspraktiken hinterherhinken, 13 Prozent sind der Meinung, auf der Stelle zu treten, und lediglich 27 Prozent versuchen überhaupt, der aktuellen Bedrohungssituation gerecht zu werden.
Besonders im Fokus von Hackern und damit gefährdet sind dabei digitale Identitäten und privilegierte Zugriffe. Dies zeigt auch der aktuelle Verizon Data Breach Investigations Report (DBIR). Demnach sind Missbrauch und Kompromittierungen von sensiblen Accounts und Konten eine wachsende Gefahr. Dazu passt, dass 84 Prozent der von Delinea befragten IT-Entscheider zugegeben haben, dass ihr Unternehmen in den letzten anderthalb Jahren eine Identitäts-bezogene Kompromittierung oder einen Angriff erlebt hat, der auf gestohlene Anmeldedaten zurückzuführen ist.
Elementare Identity-Security wie MFA wird nicht flächendeckend umgesetzt
Das Bewusstsein für diese Gefahren ist wegen jener Vorfälle aber auch dank verstärkter Aufklärung durch Reports wie den DBIR in den letzten Monaten durchaus gestiegen und immer mehr Unternehmen zeigen Bereitschaft für Veränderungen und Optimierungen, wenn es um den Schutz von Identitäten geht. So ist Absicherung von Identitäten für immerhin 87 Prozent der Security-Professionals eine der wichtigsten Sicherheitsprioritäten für die nächsten 12 Monate.
Die Studie zeigt jedoch auch, dass Unternehmen trotz guter Absichten in der Realität noch einen weiten Weg vor sich haben, wenn es um die Absicherung von privilegierten Identitäten und Zugriffen geht. So hat nur weniger als die Hälfte der befragten Unternehmen kontinuierliche Sicherheitsrichtlinien und -prozesse für die Verwaltung von privilegierten Zugriffen implementiert, wie z. B. eine Rotation oder Genehmigung von Passwörtern, zeit- oder kontextbasierte Sicherheit oder Monitoring und Audits privilegierter Sitzungen. Noch besorgniserregender ist jedoch, dass mehr als die Hälfte aller Befragten es privilegierten Benutzern erlauben, auf sensible Systeme und Daten zuzugreifen, ohne dass eine Multi-Faktor-Authentifizierung (MFA) erforderlich ist.
Knappe Budgets und mangelnde Unterstützung bremsen wichtige Sicherheitskontrollen aus
Doch woran liegt es, dass die Umsetzung einer adäquaten Identity-Sicherheit – trotz dem vorhandenen Bewusstsein für die Gefahr und dem Willen für Optimierungen – nach wie vor scheitert? Die Antwort ist einfach und dürfte nicht überraschen: An zu knappen Budgets und einer nicht verhältnismäßigen Ausrichtung der Führungsebene. So befürchten drei Viertel der befragten Sicherheitsexperten, dass ihre Maßnahmen beim Schutz privilegierter Identitäten zu kurz greifen, weil sie nicht die nötige Unterstützung erhalten. Dazu passt, dass 63 Prozent angeben, dass ihre Geschäftsführung die Identitätssicherheit und die Rolle, die sie bei der Ermöglichung besserer Geschäftsabläufe spielt, noch nicht vollständig versteht. Doch können wichtige Sicherheitskontrollen und -lösungen nicht umgesetzt werden, wird die Mehrheit der Unternehmen auch weiterhin nicht in der Lage sein wird, ihre Privilegien angemessen zu schützen. Sie sind daher weiterhin höchst anfällig für Cyberkriminelle, die es auf ihre privilegierten Accounts abgesehen haben.
Non-Human-Identities laufen unter dem Radar
Ein weiteres Versäumnis bei der Absicherung digitaler Identitäten ist die Vernachlässigung von Non-Human-Identities, d.h. privilegierte Identitäten, die nicht notwendigerweise einem menschlichen Nutzer zugeordnet sind. Hierzu gehören etwa Code, Dienstkonten, Anwendungskonten oder Datenbank-Accounts , die automatisch Verbindungen herstellen und privilegierte Informationen freigeben und deren Kompromittierung für Unternehmen daher großen Schaden bedeuten kann. Wie der Report zeigt, laufen diese nicht-menschlichen Identitäten oft unter dem Radar. Nur 44 Prozent der Unternehmen verwalten und sichern diese maschinellen Identitäten angemessen ab, während die Mehrheit sie ungeschützt lässt und damit anfällig für Angriffe macht.
Dies ist insofern gefährlich, da Angreifer, die Maschinen- und Anwendungsidentitäten anvisieren, sich leicht unbemerkt im Netzwerk bewegen und dort großen Schaden anrichten können. aus diesem Grund ist es unerlässlich, dass auch Maschinen-Identitäten in die Sicherheitsstrategien von Unternehmen einbezogen werden und Best Practices auf den Schutz aller IT-„Superuse“‘-Konten ausgeweitet werden.
Fazit
Im Kampf gegen Cyberkriminalität und Datenklau spielt die Absicherung von Identitäten eine ausschlaggebende Rolle. Dessen sind sich IT- und Security-Teams in weiten Teilen auch bewusst. Soll die Security-Strategie von Unternehmen Identitäts-basierte Risiken jedoch angemessen abdecken, ist es wichtig, dass die Geschäftsführung entsprechende Security-Projekte durch fehlende Budgets und eine falsche Ausrichtung nicht abbremst.
Der Bericht „Benchmarking Security Gaps & Privileged Access “ basiert auf den Antworten von mehr als 2.000 IT-Sicherheitsentscheider, die im Juni 2022 im Auftrag von Delinea vom globalen Forschungsunternehmen Sapio Research befragt wurden.
