Umsetzung des Cyber Risk ManagementsWie Sie Cyber-Risiko Nummer 1 erkennen und wirksam minimieren
Gesponsert von
Cyberattacken sind inzwischen das größte Unternehmensrisiko. Über 80 Prozent der Cyberangriffe missbrauchen unsichere oder gestohlene Passwörter. Wer als CIO ein Cyber Risk Management für das betriebliche Risikomanagement aufsetzt, kommt an der Identifizierung von Passwort-Risiken und ihrer Minimierung nicht vorbei. Wir zeigen, wie dies einfach und zuverlässig umgesetzt wird.

Cyber-Risiken sind die größten Unternehmensrisiken
Cybergefahren sind im Jahr 2022 die größte Sorge für Unternehmen weltweit, so das Allianz Risk Barometer 2022 des Industrieversicherers Allianz Global Corporate & Specialty (AGCS). Die Bedrohung durch Ransomware-Angriffe, Datenschutzverletzungen oder IT-Ausfälle beunruhigt die Unternehmen sogar noch mehr als Geschäfts- und Lieferkettenunterbrechungen, Naturkatastrophen oder die Covid-19-Pandemie.
Ein betriebliches Risikomanagement kommt entsprechend ohne ein Cyber Risk Management nicht mehr aus. CIOs sind gefordert, Cyberrisiken zu identifizieren, zu bewerten und wirksam zu minimieren. Doch Cybersicherheit erscheint sehr komplex. Wo fängt man an? Wie im Risikomanagement üblich empfiehlt sich eine Priorisierung der Risiken und der Start mit dem größten Cyber-Risiko.
Das größte Cyber-Risiko ist Passwortdiebstahl
Der aktuelle Data Breach Investigations Report (DBIR) von Verizon zeigt, dass die meisten Cyberangriffe die „Schwachstelle Mensch“ ausnutzen und unsichere Zugangsdaten missbrauchen. Die meisten Ransomware-Attacken und Datenschutzverletzungen, die von Unternehmen besonders gefürchtet werden, sind erfolgreich, weil zu schwache Passwörter genutzt und zu viele Berechtigungen an die User vergeben werden.
Wer als CIO hier Maßnahmen zur Erkennung von Passwort-Problemen und zur wirksamen Durchsetzung von Passwort-Richtlinien ergreift, hat damit die größten Aufgaben im Cyber Risk Management erfüllt.
Umgekehrt kann man sagen, dass ein „Weiter so“ in der Passwort-Sicherheit das Risiko für Datenpannen und erfolgreiche Cyberattacken erhöht, mit womöglich schwerwiegenden Folgen für das Unternehmen und die verantwortlichen Stellen. Kommt es zu einem IT-Sicherheitsvorfall, drohen Bußgelder der Aufsichtsbehörden, Imageschäden in der Presse und bei den Kunden bis hin zu der persönlichen Haftung als Verantwortlicher, wenn keine Maßnahmen zur Erkennung und Abwehr der Cyberrisiken ergriffen wurden und Schäden eingetreten sind.
So bestimmen Sie die Passwort-Risiken in Ihrem Unternehmen
Im Risikomanagement gilt es, die Risiken zu identifizieren, sie zu bewerten und mit angemessenen Gegenmaßnahmen einzudämmen. Für das Cyber-Risiko Nummer 1 bedeutet das, dass zuerst die Stärke und Qualität der verwendeten Passwörter bestimmt werden müssen.
Der Specops Password Auditor zum Beispiel bietet CIOs ein Werkzeug, um das Risiko durch zu schwache Passwörter zu bestimmen. Das Audit-Tool identifiziert die Sicherheitsschwächen in Bezug auf Passwörter im Zusammenhang mit den Benutzerkonten. Die Prüfung zeigt auch, welche Benutzer Administratorrechte haben, welche Konten inaktiv sind und welche Konten abgelaufene Passwörter besitzen.
Mit Specops Password Auditor können CIOs prüfen lassen, welche Konten die Sicherheitsrichtlinien verletzen. Das ist der erste Schritt, um das Cyber-Risiko „Schwache und kompromittierte Passwörter“ erfolgreich in den Griff zu bekommen.
Nach dem Passwort-Audit kommt die wirksame Durchsetzung der Password Policy
Allein die Identifizierung von Passwort-Risiken reicht für das Cyber Risk Management aber nicht. Man kann und sollte zwar regelmäßig ein Passwort-Audit durchführen, aber das garantiert nicht, dass das Risiko durch schwache Passwörter wirklich sinkt.
Das Durchsetzen von starken Passwörtern in Active Directory (AD) ist für die Minimierung der Cyber-Risiken von entscheidender Bedeutung. Die Bordmittel im AD reichen aber nicht aus, um die Passwort-Qualität entsprechend den relevanten Sicherheitsstandards und Compliance-Vorgaben zu erhöhen.
Um starke Kennwörter durchzusetzen, die den aktuellen Empfehlungen der Sicherheitsbehörden entsprechen, sind Passwort-Richtlinien-Tools von Drittanbietern wie Specops Software mit der Specops Password Policy unabdingbar.
Unternehmen müssen zum Beispiel verhindern, dass ihre Mitarbeiter Kennwörter wählen, die bereits kompromittiert und öffentlich zugänglich sind. Ebenso muss ausgeschlossen werden, dass Benutzer bei einer Passwortänderung nur minimale Änderungen im Vergleich zum vorherigen Passwort vornehmen. Zudem muss es möglich sein, für verschiedene Benutzergruppen wie zum Beispiel der IT-Administration spezielle Passwortrichtlinien zu definieren und durchzusetzen.
Verlassen Sie sich nicht auf die Bordmittel
Allein mit den Bordmitteln des AD ist dies aber nicht möglich. Specops Password Policy dagegen verhindert zum Beispiel, dass Active Directory Benutzer kompromittierte Kennwörter verwenden. Die zugehörige Datenbank enthält mehr als 2,3 Milliarden kompromittierte Passwörter aus Sicherheitsverletzungen rund um den Globus. Bei der Passwortänderungen erhält der User in Echtzeit ein Feedback, ob das von ihm gewählte Kennwort den eingerichteten Passwortrichtlinien entspricht.
Specops Password Policy macht es einfach, schwache und kompromittierte Passwörter zu verhindern und die aktuellen Anforderungen von Sicherheitsbehörden, wie zum Beispiel dem NIST, BSI oder NCSC an Passwortsicherheit einzuhalten. Zusammen mit Specops Password Auditor werden die Cyber-Risiken durch Passwort-Schwachstellen identifiziert, es lassen sich konkrete Maßnahmen zur Verbesserung der Passwort-Sicherheit und damit zur Minimierung der Passwort-Risiken ableiten, die mit der Lösung Specops Password Policy schnell und einfach in Active Directory implementiert werden können.
Damit werden zentrale Maßnahmen im Cyber Risk Management zuverlässig erfüllt und die CIOs bei ihren Aufgaben im betrieblichen Risikomanagement erfolgreich unterstützt.
(ID:48397329)