Ist es an der Zeit, Passwörter ganz abzuschaffen?
Cybersicherheit hat sowohl für Unternehmen als auch für die nationale Infrastruktur Priorität. Die aktuelle Invasion in der Ukraine lässt viele Beobachter auf eine mögliche Welle von Cyberangriffen hinweisen, da Russland versucht, den Westen mit nichtmilitärischen Mitteln zu bestrafen. Tatsächlich war sogar Präsident Biden kürzlich dazu bewegt, eine Erklärung zur Cybersicherheit seines Landes abzugeben. Bidens Worte wurden durch sich entwickelnde Informationen veranlasst, dass die russische Regierung tatsächlich Optionen für Cyberangriffe gegen ihre vermeintlichen Feinde untersucht.
Ungeachtet der Bedrohung durch Russland war es für Unternehmen noch nie so wichtig, ihre Verteidigung gegen Cyberangriffe jeglicher Art zu stärken.
Im Vereinigten Königreich sieht das Information Commissioner's Office (ICO) Unternehmen, die „leicht“ gehackt werden können, sehr kritisch. In einem kürzlich ergangenen Urteil entschied ein Richter, dass die fragliche Anwaltskanzlei eine ausnutzbare Schwachstelle hatte und letztendlich für personenbezogene Daten verantwortlich war, obwohl er akzeptierte, dass die Hauptschuld beim Angreifer lag. Konkret stellte das ICO fest, dass diese Firma keine Multi-Faktor-Authentifizierung für den Fernzugriff auf ihre Systeme verwendet hat – obwohl dies seit 2018 empfohlen wird. Abgesehen von der Geldbuße, die für diesen Verstoß verhängt wurde, muss auch ein Reputationsschaden berücksichtigt werden.
Welche Rolle sollten Passwörter angesichts solcher Ratschläge zur Multi-Faktor-Authentifizierung in der Cybersicherheitsstrategie Ihres Unternehmens spielen?
In vielen Fällen gelangen Cyberkriminelle über eine Art Phishing-Angriff an Passwörter. Ein anderer Ansatz besteht darin, Anmeldeinformationen von einer unzureichend geschützten Website zu stehlen und sie auf einer anderen Website zu versuchen, in der Hoffnung, dass einige möglicherweise wiederverwendet wurden. Keine Passwörter (im herkömmlichen Sinne) zu haben, scheint also sinnvoll zu sein.
Für die meisten Unternehmen bereitet die Verwaltung von Passwörtern große Kopfschmerzen und ist kostspielig. Wir haben gesehen, dass Passwörter leicht von Kriminellen ausgenutzt werden können, daher erscheint es logisch, dass Sie die passwortlose Authentifizierung untersuchen sollten. Es gibt eine Reihe von Vorteilen, in einer passwortlosen Umgebung zu leben. Ihre Mitarbeiter werden sich über eine bessere Benutzererfahrung freuen (kein Herumspielen mit vergessenen Passwörtern), eine einfachere Verwaltung für die IT-Abteilung, mehr Sicherheit und weniger Ausfallzeiten für die Mitarbeiter – stellen Sie sich die Kostenauswirkungen vor, wenn ein wichtiger Gebührenverdiener aus diesem Grund nicht auf Ressourcen zugreifen kann ein vergessenes Passwort – Zeit ist Geld.
Und ein wichtiger Faktor für die Suche nach einer potenziellen Lösung für viele Unternehmen war die Einführung mobiler/intelligenter Geräte. Da sich immer mehr Menschen auf ihre mobilen Geräte verlassen, um ihre „Arbeit“ zu erledigen, insbesondere in den letzten Jahren aufgrund von Heimarbeit (WFH) und Remote-Arbeitspraktiken, müssen sich Unternehmen neuen technologischen Herausforderungen stellen. Unter diesen Bedingungen kann die Aufforderung an Ihre Mitarbeiter zur Eingabe zahlreicher Passwörter über ein mobiles Gerät anspruchsvoll sein und Hackern Schwachstellen bieten.
Und beunruhigenderweise gab es im vergangenen Jahr einen massiven Anstieg von Malware-Angriffen sowohl auf Einzelpersonen als auch auf Organisationen berichten. Was manche jetzt als „COVID Bounce“ bezeichnen, bedeutete, dass 2020 zwar relativ ruhig an der Front der Cyberangriffe verlief, 2021 jedoch ein Anstieg der Malware-Erkennungen um 77 % im Jahresvergleich zu verzeichnen war – mit einem Anstieg geschäftsbezogener Bedrohungen um 143 %. Mobile Malware wird zu einer zunehmend alltäglichen Bedrohung für Unternehmen aller Formen und Größen. Untersuchungen zeigen, dass die cyberkriminelle Bruderschaft ihre Tools zunehmend auf Mobilgeräte ausdehnt.
Ransomware ist eine sehr reale Bedrohung mit zunehmenden Angriffen. Der Begriff wird oft synonym mit Malware verwendet, obwohl Sicherheitsexperten Ransomware eher als eine Untergruppe von Malware betrachten. Diejenigen, die hinter Ransomware-Angriffen stehen, sind bestrebt, Organisationen anzugreifen, die dazu neigen, sehr sensible oder geheime Daten zu halten/speichern. Sobald Angreifer die vollständige Kontrolle über die Systeme Ihres Unternehmens erlangt haben, beschränkt Ransomware den Zugriff auf alle Ihre sensiblen und vertraulichen Kundeninformationen, bis Sie ein Lösegeld zahlen. Wenn Sie von einem Ransomware-Angriff betroffen sind, wachen Sie normalerweise mit einem gesperrten Computerbildschirm auf oder stellen fest, dass einige oder alle Ihrer Dateien verschlüsselt wurden. Normalerweise verlangen die „Entführer“ Ihrer Daten einen Geldbetrag im Austausch für einen „Schlüssel“, der Ihr System entsperrt und Ihre Dateien öffnet. Wie stark Unternehmen von Ransomware-Angriffen betroffen sind, lässt sich nur schwer abschätzen, da viele bereitwillig ein Lösegeld zahlen, um negative Blicke der Öffentlichkeit zu vermeiden – die Angreifer sind sich dessen durchaus bewusst. Und Ransomware kann über jedes Gerät zuschlagen. Sie beschränken gerne den Zugriff auf Ihre Desktop-PCs, auf alle Smartphones, die von Ihren Mitarbeitern verwendet werden, und sogar auf Tablets.
Da Menschen wichtige Ressourcen von außerhalb der traditionellen Netzwerkperimeter von gestern erreichen müssen, haben viele der heutigen intelligenten Geräte genauso viel Zugriff auf die Informationen Ihres Unternehmens wie herkömmliche Endpunkte. Da Telearbeit (sogar teilweise) für die meisten jetzt Realität wird, ist es ein guter Zeitpunkt, Ihren Ansatz für mobiles Arbeiten zu bewerten. Die Abhängigkeit von mobilen Geräten nimmt weiter zu, in der Regel, wenn Menschen ihre eigenen Geräte (oder persönlich aktivierte Geräte) verwenden, um ihre Arbeit zu erledigen. Und da es sich bei den meisten dieser Telefone nicht um verwaltete Geräte handelt, ist das Risiko für Ihr Unternehmen tatsächlich sehr real.
Wie also können Sie diese neuen Arbeitsbedingungen am besten angehen? Ein Schritt in die richtige Richtung wäre es, einen „Zero Trust“-Ansatz in Erwägung zu ziehen. Unter diesen Bedingungen geht es bei der Sicherheit darum, implizites Vertrauen zu beseitigen – vertrauen Sie niemandem (bis Sie sollten). Zero Trust versetzt Sie in die Lage, bedingten Zugriff auf sensible Daten/Informationen zu gewähren – im Ergebnis gewähren Sie nur der richtigen Person zur richtigen Zeit Zugriff auf die richtigen Informationen – kein pauschalen Zugriff für alle.
Durch Passwort-Hacking passieren die meisten Sicherheitsverletzungen. Sie sind sicherlich eine Schwachstelle in Computersystemen und Cyberkriminelle betrachten sie als weiche Ziele. Schwache oder gestohlene Zugangsdaten unterstreichen die Notwendigkeit für Ihr Unternehmen, sich auf mehr als nur Passwörter zu verlassen, um Ihre Konten, Ihre Posteingänge und alle Ihre sensiblen Kundeninformationen zu schützen. Geben Sie dem ICO keinen Grund, anzuklopfen.
