:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Identitätsmanagement als Wegbereiter im Unternehmen Wie Sicherheitsexperten ihren Ruf als Blockierer loswerden
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/117800/117805/65.png "VIT_Logo_RGB_Full.png ()")
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
Die Rolle der Sicherheitsteams in Unternehmen hat sich durch die Fernarbeit der letzten Monate stark gewandelt. Waren sie in der Vergangenheit vorrangig um die Früherkennung und das Abwehren von Bedrohungen bemüht, entwickeln sie sich in Zeiten von Remote Work zu Wegbereitern für eine einheitliche Sicherheitsstrategie in ihren Firmen.
Die digitale Transformation hat für 89 Prozent der Unternehmen in Europa Priorität, wie eine aktuelle IDC-Studie bestätigt. Zu Veränderungen auf organisatorischer Ebene hat das jedoch bislang kaum geführt. Erst Corona hat die Firmen zum Umdenken veranlasst. Viele ergreifen jetzt Maßnahmen, um sich auf künftige Störungen vorzubereiten – vor allem im Hinblick auf das sichere Arbeiten im Home Office und unterwegs.
Dazu gehört auch eine verstärkte Konzentration auf die operative Beweglichkeit, die jetzt und in Zukunft von entscheidender Bedeutung für Unternehmen sein wird. Sich agil aufstellen zu können, setzt jedoch einen kulturellen Wandel voraus: Jede Abteilung muss Verantwortung übernehmen und Veränderungen vorantreiben. Das gilt vor allem für Sicherheitsexperten, denn bei Veränderungen spielt das Risiko-Management eine besonders wichtige Rolle.
Laut IDC betrachtet jedoch noch immer ein Drittel (37 Prozent) der deutschen Manager das Thema Sicherheit als Innovationsblockade, Compliance-Hürde oder notwendigen Kostenpunkt. Das sind zwar knapp zehn Prozent weniger als noch vor zwei Jahren, trotzdem führt diese Einstellung nach wie vor zu einer negativen Reputation der Sicherheitsbeauftragten. Das zeigt auch eine weitere Zahl: 59 Prozent der deutschen Unternehmen versäumen es, ihre Sicherheitsexperten in die Planung neuer Geschäftsinitiativen einzubinden.
Was aber können die Sicherheitsverantwortlichen tun, um ihre Reputation zu verbessern und gleichzeitig die wachsenden operativen Herausforderungen zu bewältigen?
Bisheriger Fokus: Brandbekämpfung
Risiken sind wesentliche Bestandteile der Unternehmensführung. Kein Change-Prozess verläuft ohne Risiko. Genau das macht es aber so schwierig, die Sicherheitsexperten als Wegbereiter und Treiber der digitalen Transformation zu positionieren. Denn das widerspricht dem traditionell an sie gestellten Anspruch, alle Risiken zu „blockieren“. Daher fällt es den Sicherheitsteams der meisten deutschen Firmen schwer, ihren Geschäftswert über den Technologieeinsatz und die Bekämpfung von Bedrohungen hinaus zu demonstrieren.
Unternehmen von heute operieren auf globaler Ebene. Sie arbeiten mit Firmen auf der ganzen Welt zusammen und nutzen eine Vielzahl unterschiedlicher Technologien, mit denen die Produktivität und Effizienz gesteigert werden soll. Aufgrund der vielen verschiedenen Plattformen und dem damit verbundenen Wartungsaufwand ist aber häufig das Gegenteil der Fall. Erschwerend hinzu kommen Risiken durch die eigenen Mitarbeiter. Trotz der steigenden Zahl von Datenverstößen haben die meisten Arbeitnehmer in Deutschland ein recht fragwürdiges Sicherheitsverhalten. Das Wiederverwenden von Passwörtern auf verschiedenen Plattformen ist gang und gäbe. Und immer wieder werden Mitarbeiter Opfer von Phishing-Angriffen. Daher konzentrieren sich die Sicherheitsteams vorrangig auf die alltägliche „Brandbekämpfung“. Für langfristige Optimierungsprojekte im Rahmen der Business Transformation bleibt meist keine Zeit.
Aber was können Sicherheitsbeauftragte tun, um nicht als Geschäftsblockierer wahrgenommen zu werden? Wie können sie ihr Wirken proaktiv unter Beweis stellen?
:quality(80)/images.vogel.de/vogelonline/bdb/1764300/1764383/original.jpg "Passwörter werden auch in Zukunft nicht vollständig verschwinden. Unternehmen brauchen also eine Lösung, die passwortlose Authentifizierung und die Verwaltung von Zugangsdaten intelligent kombiniert. (gemeinfrei)")
Sichere Identitäten sind den Security-Insider-Lesern Gold wert
Der Weg in die (nicht ganz) passwortlose Zukunft
Risiko-Management zur Priorität machen
Ein guter Ansatzpunkt besteht darin, sich auf die Bereiche zu konzentrieren, die beim Vorstand besonders angesehen sind. Dazu zählt laut IDC-Studie vor allem die Optimierung des Risiko-Managements: 36 Prozent der befragten Führungskräfte in Deutschland erwarten sich davon den größten Mehrwert. Die Einführung eines umfassenden Identitäts- und Zugriffsmanagements (IAM) ist daher eine gute Möglichkeit für das Sicherheitsteam, sich strategisch zu positionieren.
Um die IAM-Erfahrung für die Anwender so nahtlos wie möglich zu gestalten, stehen verschiedene Werkzeuge zur Verfügung. Entscheidend ist dabei eine eng verzahnte Sicherheitsumgebung, die bestimmte Schlüsselkomponenten umfassen sollte – darunter Single-Sign-On-Fähigkeiten (SSO), Multi-Faktor-Authentifizierung (MFA), Enterprise Password Manager (EPM) sowie Management-Dashboards. Im Zusammenspiel tragen diese Tools dazu bei, den potenziellen Schaden, der durch ein mangelndes Sicherheitsbewusstsein der Mitarbeiter entsteht, zu begrenzen.
Allerdings erhöht der Einsatz unterschiedlicher Tools die Komplexität und kann unter Umständen sogar kontraproduktiv sein. Um einen geschäftlichen Nutzen zu erzielen, empfiehlt es sich daher, die Lösungen unter einer Identität zu vereinheitlichen.
Vereinheitlichte Sicherheit dank IAM
Das bedeutet, dass Unternehmen ihre heterogene Sicherheitsinfrastruktur in einem ganzheitlichen Ökosystem integrieren und zentralisieren müssen. Mit diesem Ansatz lässt sich der Betrieb verbessern, was wiederum die Wartung erleichtert. So kann die IT durch das integrierte Konzept laut IDC-Studie 99 Tage im Jahr für Wartung und Verwaltung einsparen. Der größte Vorteil des einheitlichen Sicherheitsansatzes ist demnach die Mitarbeiterbindung, gefolgt von einer höheren Kosteneffizienz sowie von der Fähigkeit zur schnellen Reaktion auf Sicherheitsvorfälle.
Mit solchen Argumenten können sich die Verantwortlichen beim Vorstand besser Gehör verschaffen. Denn in einer integrierten Sicherheitsumgebung werden sich wiederholende Prozesse automatisieren, so dass sich das Security-Team auf anspruchsvollere Aufgaben konzentrieren kann. Natürlich bleiben Kostenreduzierung und operative Effizienz von zentraler Bedeutung, um die Auswirkungen auf das Business zu belegen. Aber sie sollten nicht die einzigen Argumente sein.
IT-Teams müssen Business-Sprache sprechen
Bei einem Best-of-Breed-Identity-Ansatz profitieren Unternehmen von Vorteilen wie einem effektiveren Risiko-Management und mehr Kosteneffizienz. Darüber hinaus können die Sicherheitsbeauftragten damit ihren Wert unter Beweis stellen, indem sie dem Vorstand die Vorzüge überzeugend vermitteln.
Dabei sollten sich die Experten nicht zu sehr auf technische KPIs wie die Menge der transportierten Daten oder die Anzahl der Systeme mit bekannten Schwachstellen konzentrieren. Vielmehr sollten sie sich auf KPIs stützen, die sich auf Geschäftsergebnisse beziehen. Mit Messgrößen zu Kostenreduktion, Personalauslastung, Risikominderung und Compliance können sie auf Vorstandsebene die größte Resonanz erzielen:
- Kostenreduktion: Die Integration unterschiedlicher Identity-Tools in eine End-to-End- Plattform steigert die Kosteneffizienz und verbessert die Personalauslastung.
- Risikominderung: Intuitive Zugriffsprozesse fördern ein richtlinienkonformes Verhalten und sorgen so für ein durchgehend höheres Sicherheitsniveau.
- Compliance: Die Fähigkeit, nachzuverfolgen, wer Zugriff auf welche Anwendungen und Daten hat, unterstützt die Einhaltung gesetzlicher Vorschriften.
Das Thema Sicherheit muss strategisch betrachtet werden
Eine Bestandsaufnahme der gewonnenen Erkenntnisse wird den IT-Teams zeigen, welche Anwendungen sich für eine remote arbeitende Belegschaft bewährt haben und wie sich unnötige Risiken durch eine verbesserte Sicherheitsarchitektur verringern lassen. Damit Unternehmen ihr Wachstum wieder beschleunigen und sich agil aufstellen können, muss die digitale Transformation Wirklichkeit werden. Und das ist nur mit einer starken und einheitlichen Sicherheitslandschaft machbar.
Es ist an der Zeit, dass die Security-Experten ihren Ruf als Geschäftsblockierer loswerden und sich als Wegbereiter der Transformation präsentieren. Voraussetzung dafür sind proaktive Schritte, um das Sicherheitsbewusstsein im gesamten Unternehmen zu verbessern und um Zeit und Ressourcen freizusetzen, die für längerfristige Optimierungsprojekte benötigt werden. Um sich strategischer aufzustellen, müssen die Sicherheitsteams glaubwürdig auftreten und ihre Argumente in einer Sprache vorbringen, die auch auf der Vorstandsebene Gehör findet.
Über den Autor: Barry McMahon ist Senior Manager, Identitäts- und Zugriffsmanagement bei LogMeIn und Schöpfer von LastPass. LastPass ist Gold-Winner in der Kategorie Access-Management beim Security-Insider Readers' Choice Award 2020.
(ID:46956000)
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/82/2582ad321b5ade17e75176d139f2b07a/0108888349.jpeg "Eine neue One-Identity-Studie zeigt: Selbst inmitten von Identitäts-Wildwuchs und zunehmender Zahl von identitätsbasierten Angriffen sind Investitionen in Identity Management-Sicherheitslösungen oftmals vergeudet. (Bild: ra2 studio - stock.adobe.com)")