Ein leichtsinniger Umgang mit Passwörtern und die unbewusste oder bewusste Missachtung von Sicherheitsrichtlinien stellen eine der Hauptbedrohungen für die Sicherheit der Unternehmens-IT dar. Dem müssen IT-Abteilungen mit technischen Maßnahmen entgegentreten, denn Aufklärung und Schulungen können nicht allen Verfehlungen vorbeugen.

Trotz gestiegenem Sicherheitsbewusstsein liegt die Ursache für Hackerangriffe und Malwareinfektionen oft bei unvorsichtigen und uninformierten Mitarbeitern. Wie eine Studie von Kaspersky Lab und B2B International zeigt, ist fast jeder dritte Cyberangriff heutzutage auf Phishing und Social Engineering zurückzuführen, weitere 30 Prozent hängen mit Exploits und dem vermeidbaren Verlust von Mobilgeräten zusammen. Hinzu kommt, dass die Zahl der (privaten) mobilen Geräte, die mittlerweile Zugang zum Firmennetzwerk haben und für dessen Sicherheit in der Regel die Besitzer allein verantwortlich sind, in den letzten Jahren exorbitant gestiegen ist. Öffentliche, ungeschützte WLAN-Netzwerke, potenziell bösartige Websites oder aber der versehentliche Download infizierter Apps werden so schnell zur Bedrohung sensibler Unternehmensdaten.

Unachtsamer Umgang mit Passwörtern

Das größte Sicherheitsrisiko ist dabei sicherlich der sorglose Umgang mit Passwörtern und Zugangsdaten, sei es, dass Mitarbeiter noch immer auf Phishing hereinfallen und sensible Daten arglos auf gefälschten Webseiten eingeben oder aber innerhalb des Unternehmens nachlässig mit Berechtigungsnachweisen umgehen. So ist es bei vielen Mitarbeitern an der Tagesordnung, geheime Passwörter unbedarft an Kollegen weiterzugeben oder auf unternehmensfremden Cloud-Applikationen abzuspeichern, um auch außerhalb des Unternehmens darauf zugreifen zu können. Ebenso riskant ist die weit verbreitete Verwaltung von sensiblen Passwörtern über Excel-Tabellen oder andere ungeschützte Dokumente oder Systeme. Dass diese Nachlässigkeit nicht nur mit begrenzten Rechten versehene Accounts wie etwa E-Mailkonten oder ähnliches betrifft, sondern in vielen Fällen auch privilegierte, mit weiten Rechten ausgestattete Unternehmens-Accounts wie Administratorkonten, Datenbank-, Maschinen- oder Server-Accounts, verschärft die Situation.

Unkontrollierte Unternehmenskonten fördern kriminelle Energie

Sorglose und im Umgang mit Sicherheitsrichtlinien nachlässige Mitarbeiter sind aber nur die eine Seite der Medaille. Weitaus gefährlicher (wenngleich prozentual deutlich in der Minderheit) sind nämlich Mitarbeiter, die ihren Arbeitgeber bewusst und bisweilen aus kriminellen Motiven heraus sabotieren. Dass auch dies mittlerweile ein ernstzunehmendes Problem ist, brachte unter anderem der Market Pulse Survey von Sailpoint zu Tage. Immerhin einer von fünf Mitarbeitern ist demnach bereit, sensible Passwörter des eigenen Unternehmens zu verkaufen. Die Hälfe der Befragten würde dies sogar für weniger als 1.000 US-Dollar tun – nicht viel Geld für eine derart riskante Angelegenheit.

Dass es Arbeitnehmer ihren Angestellten bisweilen leicht machen, sensible Dokumente zu stehlen, zeigt der Fall von Robert Steele aus dem Jahr 2013. Der Amerikaner Steele entwendete seinem ehemaligen Arbeitgeber, einem Auftragsnehmer einer staatlichen Behörde, sensible Dokumente und stellte diese seinem neuen Arbeitgeber zur Verfügung. Für seine Spionage nutzte er einen geheimen Account mit Administratorberechtigungen, den er noch vor seinem Ausscheiden angelegt hatte. Da der Account seinen Vorgesetzten unbekannt war, wurde er nach seinem Verlassen folglich auch nicht stillgelegt. Meist braucht es jedoch gar keine geheimen Accounts, um sich nach dem Verlassen eines Unternehmens weiterhin Zugriff zu verschaffen, denn nur die wenigsten Unternehmen löschen Konten und Zugänge nach dem Ausscheiden von Mitarbeitern. Dies bestätigt auch der aktuelle Datenrisiko-Report 2018 von Varonis: Bei 34 Prozent aller Benutzerkonten eines Unternehmens handelt es sich demnach um sogenannte „Ghost User“, also veraltete, nicht mehr benötigte, aber dennoch nicht deaktivierte Nutzerkonten.

Wie das Prinzip der minimalen Rechtevergabe und Zugriffsanalysen helfen können

Um eines klar zu stellen: Die große Mehrheit der Angestellten sind verlässliche Arbeitskräfte, die ihr Bestes geben, um die Sicherheit ihrer Unternehmens-IT zu wahren. Jede Arbeitskraft von vornherein als Sicherheitsbedrohung anzusehen, ist daher der falsche Weg. Dennoch müssen Unternehmen ein Fehlverhalten ihrer Mitarbeiter einkalkulieren, ernst nehmen und mit Hilfe technischer Sicherheitslösungen und Schutzmaßnahmen konsequent eindämmen. Denn durch die bloße Existenz von Unternehmensrichtlinien und gutem Zureden können vor allem bewusste Verfehlungen von Mitarbeitern nicht unter Kontrolle gebracht werden.

Um den Verlust und die unautorisierte Weitergabe von Passwörtern zu verhindern, lohnt sich der Einsatz innovativer Passwortmanagement-Lösungen, insbesondere bei der Verwaltung von privilegierten Passwörtern. Dabei werden sensible Zugangsdaten automatisch erstellt regelmäßig abgeändert und verlässlich kontrolliert.

Werden zudem umfassende Nutzer- und Zugriffsprotokolle erstellt, können verdächtige und potenziell schädliche Zugriffe oder Aktivitäten frühzeitig identifiziert, überprüft und gegebenenfalls unterbunden werden. Dies ist besonders effektiv, wenn Benutzeraktivitäten mit Hilfe von maschinellem Lernen auf Basis von individuellen Verhaltensmustern analysiert werden und verdächtige Zugriffe dann automatisch gemeldet werden. Außerdem sollten Unternehmen konsequent das Need-to-know-Prinzip durchsetzen, d.h. sicherstellen, dass jeder Mitarbeiter nur über die Privilegien und Zugriffsrechte verfügt, die er tatsächlich für seine Tätigkeiten braucht. Diese Rechtevergabe sollte sorgfältig dokumentiert und stets überprüft werden.

Nicht müde werden bei der Aufklärung

Auch wenn es manchmal mühsam erscheint, sollten IT-Verantwortliche neben der Optimierung ihrer Sicherheitstechnologien trotzdem auch die Aufklärung und Schulung ihrer Mitarbeiter nicht aus den Augen verlieren. Auch wenn damit nicht sämtliche Nachlässigkeiten aus der Welt geschafft werden können, so ist Aufklärung dennoch ein wichtiger Baustein sicherer Unternehmens-IT, weil sie Mitarbeitern Sicherheitsrisiken besser einschätzen lässt und das Bewusstsein für eigenes Fehlverhalten schärft.