:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Umsetzung des Cyber Risk Managements Wie Sie Cyber-Risiko Nummer 1 erkennen und wirksam minimieren
Gesponsert von
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Cyberattacken sind inzwischen das größte Unternehmensrisiko. Über 80 Prozent der Cyberangriffe missbrauchen unsichere oder gestohlene Passwörter. Wer als CIO ein Cyber Risk Management für das betriebliche Risikomanagement aufsetzt, kommt an der Identifizierung von Passwort-Risiken und ihrer Minimierung nicht vorbei. Wir zeigen, wie dies einfach und zuverlässig umgesetzt wird.
Cyber-Risiken sind die größten Unternehmensrisiken
Cybergefahren sind im Jahr 2022 die größte Sorge für Unternehmen weltweit, so das Allianz Risk Barometer 2022 des Industrieversicherers Allianz Global Corporate & Specialty (AGCS). Die Bedrohung durch Ransomware-Angriffe, Datenschutzverletzungen oder IT-Ausfälle beunruhigt die Unternehmen sogar noch mehr als Geschäfts- und Lieferkettenunterbrechungen, Naturkatastrophen oder die Covid-19-Pandemie.
Ein betriebliches Risikomanagement kommt entsprechend ohne ein Cyber Risk Management nicht mehr aus. CIOs sind gefordert, Cyberrisiken zu identifizieren, zu bewerten und wirksam zu minimieren. Doch Cybersicherheit erscheint sehr komplex. Wo fängt man an? Wie im Risikomanagement üblich empfiehlt sich eine Priorisierung der Risiken und der Start mit dem größten Cyber-Risiko.
Das größte Cyber-Risiko ist Passwortdiebstahl
Der aktuelle Data Breach Investigations Report (DBIR) von Verizon zeigt, dass die meisten Cyberangriffe die „Schwachstelle Mensch“ ausnutzen und unsichere Zugangsdaten missbrauchen. Die meisten Ransomware-Attacken und Datenschutzverletzungen, die von Unternehmen besonders gefürchtet werden, sind erfolgreich, weil zu schwache Passwörter genutzt und zu viele Berechtigungen an die User vergeben werden.
Wer als CIO hier Maßnahmen zur Erkennung von Passwort-Problemen und zur wirksamen Durchsetzung von Passwort-Richtlinien ergreift, hat damit die größten Aufgaben im Cyber Risk Management erfüllt.
Umgekehrt kann man sagen, dass ein „Weiter so“ in der Passwort-Sicherheit das Risiko für Datenpannen und erfolgreiche Cyberattacken erhöht, mit womöglich schwerwiegenden Folgen für das Unternehmen und die verantwortlichen Stellen. Kommt es zu einem IT-Sicherheitsvorfall, drohen Bußgelder der Aufsichtsbehörden, Imageschäden in der Presse und bei den Kunden bis hin zu der persönlichen Haftung als Verantwortlicher, wenn keine Maßnahmen zur Erkennung und Abwehr der Cyberrisiken ergriffen wurden und Schäden eingetreten sind.
So bestimmen Sie die Passwort-Risiken in Ihrem Unternehmen
Im Risikomanagement gilt es, die Risiken zu identifizieren, sie zu bewerten und mit angemessenen Gegenmaßnahmen einzudämmen. Für das Cyber-Risiko Nummer 1 bedeutet das, dass zuerst die Stärke und Qualität der verwendeten Passwörter bestimmt werden müssen.
Der Specops Password Auditor zum Beispiel bietet CIOs ein Werkzeug, um das Risiko durch zu schwache Passwörter zu bestimmen. Das Audit-Tool identifiziert die Sicherheitsschwächen in Bezug auf Passwörter im Zusammenhang mit den Benutzerkonten. Die Prüfung zeigt auch, welche Benutzer Administratorrechte haben, welche Konten inaktiv sind und welche Konten abgelaufene Passwörter besitzen.
Mit Specops Password Auditor können CIOs prüfen lassen, welche Konten die Sicherheitsrichtlinien verletzen. Das ist der erste Schritt, um das Cyber-Risiko „Schwache und kompromittierte Passwörter“ erfolgreich in den Griff zu bekommen.
Nach dem Passwort-Audit kommt die wirksame Durchsetzung der Password Policy
Allein die Identifizierung von Passwort-Risiken reicht für das Cyber Risk Management aber nicht. Man kann und sollte zwar regelmäßig ein Passwort-Audit durchführen, aber das garantiert nicht, dass das Risiko durch schwache Passwörter wirklich sinkt.
Das Durchsetzen von starken Passwörtern in Active Directory (AD) ist für die Minimierung der Cyber-Risiken von entscheidender Bedeutung. Die Bordmittel im AD reichen aber nicht aus, um die Passwort-Qualität entsprechend den relevanten Sicherheitsstandards und Compliance-Vorgaben zu erhöhen.
Um starke Kennwörter durchzusetzen, die den aktuellen Empfehlungen der Sicherheitsbehörden entsprechen, sind Passwort-Richtlinien-Tools von Drittanbietern wie Specops Software mit der Specops Password Policy unabdingbar.
Unternehmen müssen zum Beispiel verhindern, dass ihre Mitarbeiter Kennwörter wählen, die bereits kompromittiert und öffentlich zugänglich sind. Ebenso muss ausgeschlossen werden, dass Benutzer bei einer Passwortänderung nur minimale Änderungen im Vergleich zum vorherigen Passwort vornehmen. Zudem muss es möglich sein, für verschiedene Benutzergruppen wie zum Beispiel der IT-Administration spezielle Passwortrichtlinien zu definieren und durchzusetzen.
Verlassen Sie sich nicht auf die Bordmittel
Allein mit den Bordmitteln des AD ist dies aber nicht möglich. Specops Password Policy dagegen verhindert zum Beispiel, dass Active Directory Benutzer kompromittierte Kennwörter verwenden. Die zugehörige Datenbank enthält mehr als 2,3 Milliarden kompromittierte Passwörter aus Sicherheitsverletzungen rund um den Globus. Bei der Passwortänderungen erhält der User in Echtzeit ein Feedback, ob das von ihm gewählte Kennwort den eingerichteten Passwortrichtlinien entspricht.
Specops Password Policy macht es einfach, schwache und kompromittierte Passwörter zu verhindern und die aktuellen Anforderungen von Sicherheitsbehörden, wie zum Beispiel dem NIST, BSI oder NCSC an Passwortsicherheit einzuhalten. Zusammen mit Specops Password Auditor werden die Cyber-Risiken durch Passwort-Schwachstellen identifiziert, es lassen sich konkrete Maßnahmen zur Verbesserung der Passwort-Sicherheit und damit zur Minimierung der Passwort-Risiken ableiten, die mit der Lösung Specops Password Policy schnell und einfach in Active Directory implementiert werden können.
Damit werden zentrale Maßnahmen im Cyber Risk Management zuverlässig erfüllt und die CIOs bei ihren Aufgaben im betrieblichen Risikomanagement erfolgreich unterstützt.
(ID:48397329)
:quality(80)/p7i.vogel.de/wcms/72/b8/72b807ae9bd8f944e35952c4f3727741/0108720947.jpeg "Viele IT-Sicherheitsstandards enthalten die Empfehlung oder Anforderung, auch eine Liste bekannter kompromittierter Kennwörter zu verwenden, um die Verwendung von kompromittierten Kennwörtern zu verhindern – und das aus gutem Grund. Das Diagramm zeigt, welcher Prozentsatz des Datensatzes bekannter kompromittierter Kennwörter die Empfehlungen der Regulierungsbehörden erfüllen würde. (Bild: Specops Software)")
:quality(80)/p7i.vogel.de/wcms/e9/cc/e9cc735d56e152ad860a9a309f81acc3/0112630557.jpeg "Der Security-Insider Deep Dive ist ein technisch tiefgehender Blick auf eine Security-Lösung - von Technikern für Techniker! (Bild: Vogel IT-Medien / Specops)")