:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Gesponsert
Umsetzung des Cyber Risk Managements Wie Sie Cyber-Risiko Nummer 1 erkennen und wirksam minimieren
Gesponsert von
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Cyberattacken sind inzwischen das größte Unternehmensrisiko. Über 80 Prozent der Cyberangriffe missbrauchen unsichere oder gestohlene Passwörter. Wer als CIO ein Cyber Risk Management für das betriebliche Risikomanagement aufsetzt, kommt an der Identifizierung von Passwort-Risiken und ihrer Minimierung nicht vorbei. Wir zeigen, wie dies einfach und zuverlässig umgesetzt wird.
Cyber-Risiken sind die größten Unternehmensrisiken
Cybergefahren sind im Jahr 2022 die größte Sorge für Unternehmen weltweit, so das Allianz Risk Barometer 2022 des Industrieversicherers Allianz Global Corporate & Specialty (AGCS). Die Bedrohung durch Ransomware-Angriffe, Datenschutzverletzungen oder IT-Ausfälle beunruhigt die Unternehmen sogar noch mehr als Geschäfts- und Lieferkettenunterbrechungen, Naturkatastrophen oder die Covid-19-Pandemie.
Ein betriebliches Risikomanagement kommt entsprechend ohne ein Cyber Risk Management nicht mehr aus. CIOs sind gefordert, Cyberrisiken zu identifizieren, zu bewerten und wirksam zu minimieren. Doch Cybersicherheit erscheint sehr komplex. Wo fängt man an? Wie im Risikomanagement üblich empfiehlt sich eine Priorisierung der Risiken und der Start mit dem größten Cyber-Risiko.
Das größte Cyber-Risiko ist Passwortdiebstahl
Der aktuelle Data Breach Investigations Report (DBIR) von Verizon zeigt, dass die meisten Cyberangriffe die „Schwachstelle Mensch“ ausnutzen und unsichere Zugangsdaten missbrauchen. Die meisten Ransomware-Attacken und Datenschutzverletzungen, die von Unternehmen besonders gefürchtet werden, sind erfolgreich, weil zu schwache Passwörter genutzt und zu viele Berechtigungen an die User vergeben werden.
Wer als CIO hier Maßnahmen zur Erkennung von Passwort-Problemen und zur wirksamen Durchsetzung von Passwort-Richtlinien ergreift, hat damit die größten Aufgaben im Cyber Risk Management erfüllt.
Umgekehrt kann man sagen, dass ein „Weiter so“ in der Passwort-Sicherheit das Risiko für Datenpannen und erfolgreiche Cyberattacken erhöht, mit womöglich schwerwiegenden Folgen für das Unternehmen und die verantwortlichen Stellen. Kommt es zu einem IT-Sicherheitsvorfall, drohen Bußgelder der Aufsichtsbehörden, Imageschäden in der Presse und bei den Kunden bis hin zu der persönlichen Haftung als Verantwortlicher, wenn keine Maßnahmen zur Erkennung und Abwehr der Cyberrisiken ergriffen wurden und Schäden eingetreten sind.
So bestimmen Sie die Passwort-Risiken in Ihrem Unternehmen
Im Risikomanagement gilt es, die Risiken zu identifizieren, sie zu bewerten und mit angemessenen Gegenmaßnahmen einzudämmen. Für das Cyber-Risiko Nummer 1 bedeutet das, dass zuerst die Stärke und Qualität der verwendeten Passwörter bestimmt werden müssen.
Der Specops Password Auditor zum Beispiel bietet CIOs ein Werkzeug, um das Risiko durch zu schwache Passwörter zu bestimmen. Das Audit-Tool identifiziert die Sicherheitsschwächen in Bezug auf Passwörter im Zusammenhang mit den Benutzerkonten. Die Prüfung zeigt auch, welche Benutzer Administratorrechte haben, welche Konten inaktiv sind und welche Konten abgelaufene Passwörter besitzen.
Mit Specops Password Auditor können CIOs prüfen lassen, welche Konten die Sicherheitsrichtlinien verletzen. Das ist der erste Schritt, um das Cyber-Risiko „Schwache und kompromittierte Passwörter“ erfolgreich in den Griff zu bekommen.
Nach dem Passwort-Audit kommt die wirksame Durchsetzung der Password Policy
Allein die Identifizierung von Passwort-Risiken reicht für das Cyber Risk Management aber nicht. Man kann und sollte zwar regelmäßig ein Passwort-Audit durchführen, aber das garantiert nicht, dass das Risiko durch schwache Passwörter wirklich sinkt.
Das Durchsetzen von starken Passwörtern in Active Directory (AD) ist für die Minimierung der Cyber-Risiken von entscheidender Bedeutung. Die Bordmittel im AD reichen aber nicht aus, um die Passwort-Qualität entsprechend den relevanten Sicherheitsstandards und Compliance-Vorgaben zu erhöhen.
Um starke Kennwörter durchzusetzen, die den aktuellen Empfehlungen der Sicherheitsbehörden entsprechen, sind Passwort-Richtlinien-Tools von Drittanbietern wie Specops Software mit der Specops Password Policy unabdingbar.
Unternehmen müssen zum Beispiel verhindern, dass ihre Mitarbeiter Kennwörter wählen, die bereits kompromittiert und öffentlich zugänglich sind. Ebenso muss ausgeschlossen werden, dass Benutzer bei einer Passwortänderung nur minimale Änderungen im Vergleich zum vorherigen Passwort vornehmen. Zudem muss es möglich sein, für verschiedene Benutzergruppen wie zum Beispiel der IT-Administration spezielle Passwortrichtlinien zu definieren und durchzusetzen.
Verlassen Sie sich nicht auf die Bordmittel
Allein mit den Bordmitteln des AD ist dies aber nicht möglich. Specops Password Policy dagegen verhindert zum Beispiel, dass Active Directory Benutzer kompromittierte Kennwörter verwenden. Die zugehörige Datenbank enthält mehr als 2,3 Milliarden kompromittierte Passwörter aus Sicherheitsverletzungen rund um den Globus. Bei der Passwortänderungen erhält der User in Echtzeit ein Feedback, ob das von ihm gewählte Kennwort den eingerichteten Passwortrichtlinien entspricht.
Specops Password Policy macht es einfach, schwache und kompromittierte Passwörter zu verhindern und die aktuellen Anforderungen von Sicherheitsbehörden, wie zum Beispiel dem NIST, BSI oder NCSC an Passwortsicherheit einzuhalten. Zusammen mit Specops Password Auditor werden die Cyber-Risiken durch Passwort-Schwachstellen identifiziert, es lassen sich konkrete Maßnahmen zur Verbesserung der Passwort-Sicherheit und damit zur Minimierung der Passwort-Risiken ableiten, die mit der Lösung Specops Password Policy schnell und einfach in Active Directory implementiert werden können.
Damit werden zentrale Maßnahmen im Cyber Risk Management zuverlässig erfüllt und die CIOs bei ihren Aufgaben im betrieblichen Risikomanagement erfolgreich unterstützt.
(ID:48397329)
:quality(80)/images.vogel.de/vogelonline/bdb/1907000/1907096/original.jpg "Mit Specops Password Policy sehen Administratoren direkt, welchen Einfluss bestimmte Vorgaben der Passwortrichtlinie auf die Passwortstärke haben. (Specops Software)")
:quality(80)/images.vogel.de/vogelonline/bdb/1908500/1908509/original.jpg "Besserer Schutz durch Zero Trust Network Access (Fortinet)")