IT-Sicherheit im Firmenalltag – Anspruch und Wirklichkeit

Passwort-Management beispielhaft für schlechte Sicherheitspolitik im Unternehmen

Seite: 2/2

Firmen zum Thema

Abwehrhaltung resultiert aus schlechter Absprache und Koordination

Fehlende Bedrohungsanalysen, daraus resultierende inadäquate Maßnahmen und Alleingänge der Sicherheitsabteilung wirken sich eskalierend auf den bereits erwähnten Konflikt aus. Wenn wir bei dem vorher genannten Beispiel bleiben stellt sich zusätzlich die Frage, ob die vielen Widerstände auch ein Beleg dafür sind, dass die passwortgeschützte Zugangskontrolle nicht mehr zeitgemäß ist.

Als Risikofaktor kommt hinzu, dass unzählige Passwörter an vielen Arbeitsplätzen für jeden sichtbar sind. Zettel unter der Tastatur oder Post-Its am Monitor sind der Sicherheit nicht gerade zuträglich. Brauchen wir also noch Passwörter, wenn der Mensch doch von Natur aus biometrische Merkmale besitzt, und die Technologie mittlerweile so weit ist, Individuen anhand ihrer Biometrie hundertprozentig zu authentifizieren?

Ausweg aus dem Passwort-Dilemma

Fingerprint-Scanner, Retinascanner oder Gesichtserkennung sind keine Zukunftsmusik mehr, sondern können auch mit dem Domain-Access verknüpft werden. So weist sich der Mensch gegenüber der Maschine mit seinem Körper aus. Unter Einhaltung hoher Sicherheitsrichtlinien wäre es so möglich, mehrere Fliegen mit einer Klappe zu schlagen.

Ein hoher Sicherheitsstatus könnte so im Bereich der Zugangskontrolle gewährleistet werden, ohne den Mitarbeitern durch komplizierte Passwörter, die ständig eingegeben oder verändert werden müssen, das Leben im Arbeitsalltag zu erschweren. Die Sicherheitsverantwortlichen könnten beruhigt aufatmen und müssten nicht mehr unter Tastaturen nach Passwörtern suchen.

Basierend auf meiner Erfahrung empfiehlt es sich, gemeinsam mit den Mitarbeitern oder dem Betriebsrat und der Geschäftsführung die Schnittmenge zwischen Sicherheitsanspruch, tatsächlichem Sicherheitsbedarf und dem Firmenleben zu finden, um daraus mit Hinblick auf verschiedene Optionen eine angemessene Lösung für die Unternehmenssicherheit zu erarbeiten.

Diese Vorgehensweise ist sinnvoll, da die Mitarbeiter sich so als Teil des Sicherheitssystems wahrnehmen, was sie dazu motiviert, ihren Betrag für die IT-Sicherheit zu leisten. Die Diskrepanz zwischen Security und operativem Geschäft könnte so ein kleines Stück weiter überwunden werden.

Der (ISC)²-zertifizierte CSSLP Dinu-Mathias Fulea ist Field Applications Engineer bei Access Systems Germany.

(ID:2041921)