:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5b/22/5b22bde70a798882fd87b424b08db454/0114239498.jpeg "(Bild: Alexander – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3c/313c4d5d5853b79cb0b6e35922a67b12/0114113318.jpeg ""Umfassender Cyberschutz auf allen Ebenen", ein Interview von Oliver Schonschek, Insider Research, mit Waldemar Bergstreiser von Kaspersky. (Bild: Vogel IT-Medien / Kaspersky / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/99/cc/99cc4df961053dc747a06fbf36f0962d/0114222186.jpeg "Ab sofort sehen die Besucher des Drogen-Markplatzes Piilopuoti im Darknet nur die folgende Meldung. (Bild: Finnischer Zoll)")
:quality(80)/p7i.vogel.de/wcms/9d/ab/9dab51056cf30c7d100f1bd2daa971f7/0114174544.jpeg "Welche realistische Rolle wird künstliche Intelligenz in der Cybersicherheit übernehmen können und wo liegen aktuell noch die Herausforderungen? (Bild: Shuo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c9/04/c904bf7dc0be07350005f7dba734f6ff/0113097994.jpeg "Die kostenlose Open-Source-Lösung Matomo bietet ähnlichen Funktionsumfang wie Google Analytics. (Bild: T.Joos)")
:quality(80)/p7i.vogel.de/wcms/e9/99/e99974b8c8a989906f6ae3a16662902a/0114174522.jpeg "Der neue BSI-Standard 200-4 bietet eine praxisnahe Anleitung, um ein BCMS (Business Continuity Management System) im eigenen Unternehmen aufzubauen und zu etablieren. (Bild: PX Media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Identitätssicherheit als Vertrauensanker Kein falsches Vertrauen in Zero Trust
Gesponsert von
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Zero Trust gilt als Security-Modell der Zukunft. Doch man sollte sich bei Zero Trust nicht in Scheinsicherheit wiegen. Die digitalen Identitäten sind der Vertrauensanker. Nur wenn die Identitäten sicher sind und die Berechtigungen auf Basis einer zuverlässigen Authentifizierung erteilt werden, kann Zero Trust gelingen. Gerade die Passwortsicherheit spielt hier eine zentrale Rolle.
Die Security für das neue Arbeiten
Studien des Digitalverbands Bitkom bestätigen, dass hybride Arbeitsmodelle als Mischung aus Büroarbeit, mobiler Arbeit und klassischer Büroarbeit eher das New Normal als die Ausnahme sein werden. So möchten neun von zehn Erwerbstätigen (88 Prozent) nach der Pandemie zumindest teilweise im Homeoffice arbeiten, acht von zehn (80 Prozent) an einem festen Arbeitsplatz in einem Einzelbüro. Allgemein sollte mobiles Arbeiten in Deutschland nach Ansicht der großen Mehrheit (71 Prozent) viel stärker genutzt werden.
Dieses neue, flexible und standortunabhängige Arbeiten bleibt aber nicht ohne Folgen für die Security. Klassische IT-Sicherheitsmodelle, die die Bedrohungen von extern kommen sahen und die Datenzugriffe innerhalb des eigenen Netzwerkes als eher unkritisch betrachteten, haben ausgedient. Als Security-Modell der Zukunft gilt Zero Trust.
Zero Trust: Vertrauen will verdient sein
Die Idee hinter Zero Trust ist, dass man niemanden ein Anfangsvertrauen schenkt, keiner Person, keinem Standort, keinem Gerät und keinem Netzwerk. Es müssen immer die bestehenden Risiken bestimmt werden, ob es interne oder externe Nutzende sind, betriebseigene oder fremde Geräte, interne oder externe Netze.
Abhängig von dem Risiko werden dann die Berechtigungen erteilt, Zugriffe gestattet oder verwehrt. Doch ohne jeden Vertrauensanker kommt auch ein Zero Trust Konzept nicht aus. Wenn sich eine Person mit ihrer digitalen Identität als Beschäftigte oder Beschäftigter legitimiert, erhält sie oder er bestimmte Berechtigungen. Die digitale Identität ist der neue Sicherheitsperimeter bei Zero Trust, die Identitätssicherheit ist das Rückgrat von Zero Trust.
Identitätssicherheit entscheidet über Zero-Trust-Erfolg
Wenn die digitalen Identitäten nicht sicher sind, wankt der Vertrauensanker, und Zero Trust kann nicht die gewünschte standort- und geräteunabhängige Sicherheit bringen. Das zeigt sich zum Beispiel am Service Desk eines Unternehmens.
Man stelle sich vor, eine Nutzerin oder ein Nutzer im Homeoffice ruft den Service Desk an und bittet um Hilfe bei dem Zurücksetzen eines Passwortes. Wenn es sich bei dem Anruf aber um eine Social-Engineering-Attacke handelt und der Service Desk für einen Angreifenden mit gefälschter Identität das Passwort zurücksetzt, kann der Angreifer oder die Angreiferin die Identität eines Beschäftigten übernehmen. Damit ist die Identität als Vertrauensanker verloren.
Anders sieht es aus, wenn das Zurücksetzen der Passwörter mit einer Lösung wie Specops Secure Service Desk erfolgt.
Specops Secure Service Desk ermöglicht es Organisationen über MFA (Mehr-Faktor-Authentifizierung), eine sichere Benutzerverifizierung durch Service Desk Mitarbeitende zu gewährleisten. Der Helpdesk ist mit Specops Secure Service Desk in der Lage, Benutzer zweifelsfrei zu identifizieren. Bereits bestehende Identitätsdienste, wie zum Beispiel Duo Security, Okta Verify, PingID oder Symantec VIP können zusammen mit Secure Service Desk benutzt werden, um Anrufende zu verifizieren. Zudem können Textnachrichten mit einem Einmalcode an die mit dem Benutzerkonto verknüpfte Mobilfunknummer gesendet werden.
Auf die Passwortsicherheit kommt es an
Ein weiterer Punkt, der die Bedeutung der Sicherheit der Identitäten und Identitätsnachweise unterstreicht: Zero Trust sieht vor, dass die Sicherheitsfaktoren, die Nutzende erbringen müssen, um ihre Identität zu bestätigen, von dem aktuellen Risiko abhängen, die Authentifizierung ist adaptiv und risikoabhängig.
Verlangt Zero Trust nur einen Sicherheitsfaktor, ist dies in aller Regel ein Passwort. Nimmt Zero Trust ein geringes Risiko an und ist das Passwort aber nicht stark genug, haben Angreifende ein leichtes Spiel und könnten sich mit gestohlenen Passwörtern nun Zugang verschaffen.
Leider glauben viele Unternehmen und Beschäftigte, dass sie starke Passwörter verwenden und verkennen das Risiko, das Zero Trust unterlaufen werden könnte. So hat das Forschungsteam von Specops Software eine Analyse kompromittierter Passwörter durchgeführt, zu Passwörtern, die in geleakten Passwortdatensätzen gefunden wurden, die andernfalls regulatorische Standards technisch erfüllen würden.
Laut der Untersuchung würden bis zu 83 Prozent der Passwörter, die in Datenbanken mit kompromittierten Passwörtern erscheinen, die Passwortstandards erfüllen. Das Team verglich dazu die Konstruktionsregeln von fünf verschiedenen Passwortstandards mit einem Datensatz von 800 Millionen kompromittierten Passwörtern.
„Was uns diese Daten wirklich sagen, ist, dass es einen sehr guten Grund gibt, warum einige regulatorische Empfehlungen jetzt eine Prüfung auf kompromittierte Passwörter beinhalten“, sagte Darren James, Produktspezialist bei Specops Software. „Komplexität und andere Regeln können helfen, aber das konformste Passwort der Welt trägt nichts zum Schutz Ihres Netzwerks bei, wenn es auf der Liste der kompromittierten Passwörter eines Hackers steht.“
Passwörter, die eigentlich den behördlichen Empfehlungen entsprechen würden, die aber in Listen mit kompromittierten Passwörtern gefunden werden, sollten nicht ignoriert werden. Sie könnten zum Schlupfloch bei Zero Trust werden.
So hilft Specops Password Policy
Mit Specops Password Policy und Breached Password Protection können Unternehmen über zwei Milliarden kompromittierte Passwörter in Active Directory blockieren. Dadurch verhindern sie, dass über kompromittierte Passwörter und unsichere Identitäten der Vertrauensanker von Zero Trust untergraben wird. Erst sichere Identitäten, zuverlässige Authentifizierungen und starke Passwörter machen Zero Trust zu einem Erfolgsmodell.
(ID:48571117)
:quality(80)/p7i.vogel.de/wcms/72/b8/72b807ae9bd8f944e35952c4f3727741/0108720947.jpeg "Viele IT-Sicherheitsstandards enthalten die Empfehlung oder Anforderung, auch eine Liste bekannter kompromittierter Kennwörter zu verwenden, um die Verwendung von kompromittierten Kennwörtern zu verhindern – und das aus gutem Grund. Das Diagramm zeigt, welcher Prozentsatz des Datensatzes bekannter kompromittierter Kennwörter die Empfehlungen der Regulierungsbehörden erfüllen würde. (Bild: Specops Software)")
:quality(80)/p7i.vogel.de/wcms/23/3e/233e4bbfd0aa83be9c4adb4d6a1f7313/0105055815.jpeg "0105055815 (Bild: iStock)")