:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/95/a095168ae2294c8b7ff3a1128643d10a/0114443428.jpeg "Im Einzelhandel herrscht in Sachen Datensicherheit noch Verbesserungsbedarf, wie eine aktuelle Arcserve-Studie zeigt. (Bild: Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Damit Login-Frust keine Daten und Prozesse gefährdet Zugang zu Cloud-basierter IT sicher gestalten
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
Vielfache Logins nerven – aber ist Login-Müdigkeit wirklich ein Faktor, den IT-Verantwortliche im Blick haben sollten? Eine Umfrage zeigt, wie Login-Frust die Produktivität stört und IT-Risiken erhöht. Aus den Daten lassen sich Maßnahmen ableiten, um Login-Prozesse systematisch sicherer zu machen.
Die Bürotür aufschließen, am eigenen Schreibtisch Platz nehmen, den Computer anschalten und sich für den bevorstehenden Tag in die Unternehmens-IT einloggen – so begannen früher viele Arbeitstage. Aber weder für den Arbeitsort noch für die Unternehmens-IT gelten diese alten Gewohnheiten noch: Mitarbeiterinnen und Mitarbeiter arbeiten heute an verschiedenen Orten – im Firmenbüro, Homeoffice, in Coworking Spaces oder mobil von unterwegs. Auch die IT-Applikationen, die sie für ihre Arbeit brauchen, laufen oft nicht mehr im eigenen zentralen Rechenzentrum.
In vielen Unternehmen sind heute hybride Infrastrukturen entstanden. Sie nutzen Applikationen, die von verschiedenen Anbietern beispielsweise als webbasierter Software-as-a-Service bereitgestellt und auf verschiedenen Servern in verteilten Rechenzentren gehostet werden. Die Intensität der Nutzung von Cloud-Services steigt dabei mit der Unternehmensgröße, wie ein aktueller Report zeigt: Unternehmen mit 500 bis 2.000 Mitarbeitenden setzen durchschnittlich 138 Cloud-Anwendungen pro Monat zum Hochladen, Erstellen, Freigeben oder Speichern von Daten ein. Diese Zahl steigt bei einer Unternehmensgröße von 2.000 bis 4.000 Mitarbeitenden auf durchschnittlich 204 und erreicht bei Firmen mit über 4.000 Mitarbeitenden 326 Anwendungen.
Statt sich einmal zu Arbeitsbeginn einzuloggen und dann sicher arbeiten zu können, müssen sich Mitarbeitende im Laufe eines Tages und im Zuge ihrer Aufgaben heute oft vielfach einloggen, was nicht nur lästig ist, sondern in hohem Maße auch die Produktivität stört und die Sicherheit von Unternehmensdaten und -prozessen gefährdet. Besonders akut ist die Situation, wenn ungeschulte neue Mitarbeitende gleich zu Beginn ihres Jobs dazu aufgefordert werden, sich bei einer Vielzahl ihnen noch unbekannter Cloud-Apps zu authentifizieren oder Konten zu bestätigen, die jemand als Teil des Onboardings vorab für sie angelegt hat.
Das Problem: Oft ist die Seriosität der Anfragen für die neuen Beschäftigten gar nicht einzuschätzen, etwa weil Registrier- oder Bestätigungsaufforderungen per Mail kaum Kontextinformationen enthalten. Oft bleiben den Job-Neulingen nur zwei Optionen: Sie nerven die Kolleginnen und Kollegen mit diesbezüglichen Fragen oder – etwa, weil sie zu Beginn nicht unangenehm auffallen möchten – vertrauen darauf, dass die Aufforderungen sicher und echt sind.
Das Unternehmen 1Password wollte besser verstehen, was das vielfache Einloggen für Mitarbeitende bedeutet und welche Einstellungen, Verhaltensweisen und Probleme wirklich damit verbunden sind, und führte deshalb im Sommer 2022 eine Befragung unter 2.000 nordamerikanischen Erwachsenen durch, die in Vollzeit hauptsächlich am Computer arbeiten.
Das Ergebnis: Die modernen Anmeldeprozesse sind nicht nur frustrierend – sie verringern auch die Produktivität und gefährden das Unternehmen. Hier ein paar relevante Zahlen aus der Umfrage:
- Vom ersten Tag an schwierig: 37 Prozent, also über ein Drittel der Mitarbeitenden fand es schon im Rahmen ihres Einführungsprozesses an ihrem derzeitigen Arbeitsplatz zeitaufwändig, verwirrend oder schwierig, wenn es darum ging, sich bei arbeitsbezogenen Konten anzumelden.
- Unvollständige Arbeitsergebnisse: Mit 26 Prozent gaben über ein Viertel der Befragten an, schon einmal eine Aufgabe abgebrochen zu haben, um sich die Mühe des Einloggens zu ersparen.
- Sicherheitsprozesse umgangen: 38 Prozent der Beschäftigten haben die Einrichtung neuer Sicherheitsanwendungen für die Arbeit wegen umständlicher Anmeldeverfahren schon mal aufgeschoben, delegiert oder übersprungen.
- Firmen-Login mit Privat-Accounts: Fast die Hälfte der Befragten (45 Prozent) nutzt persönliche Konten wie E-Mail oder Facebook für die einmalige Anmeldung bei der Arbeit. Dies macht Unternehmen verwundbar, da sie persönliche Konten nicht auf Sicherheitsrisiken überwachen können.
- Unklare Sicherheitskonzepte: Mit 27 Prozent waren mehr als ein Viertel der Mitarbeitenden der Meinung, dass es keinen Unterschied zwischen Single-Sign-on und der Wiederverwendung von Passwörtern gibt, wobei ersteres die Sicherheit erhöht, da es die Zahl der zu sichernden Zugangspunkte begrenzt, und letzteres die Anfälligkeit für Hacker erhöht.
Systematisches Login-Management vom ersten Tag an
Die Ergebnisse der Umfrage zeigen, wo IT-Administratoren aktiv werden müssen, um Sicherheitsrisiken zu vermeiden, die durch Unverständnis von Sicherheitskonzepten und Login-Müdigkeit durch wiederholte Anmeldeanfragen entstehen: Es gilt, Mitarbeiterinnen und Mitarbeiter vom ersten Tag des Onboardings an systematisch abzuholen und mitzunehmen, denn zur Sicherung von IT-Infrastruktur und Unternehmensdaten braucht es verantwortlich handelnde und mitdenkende Beschäftigte.
Die IT-Abteilung sollte das IT-Onboarding neuer Kolleginnen und Kollegen daher systematisch und nachvollziehbar gestalten. Oft sind grundlegende Sicherheitsschulungen direkt am ersten Tag sinnvoll, noch bevor neue Mitarbeitende vollen Zugang zu Systemen und Daten erhalten. Hier lassen sich auch grundsätzliche Regeln für die Nutzung von Anmeldedaten und wichtige Konzepte der IT-Sicherheit noch in Ruhe kommunizieren.
Single-Sign-on gegen Login-Frust
Die Überwachung der Nutzung und Login-Prozesse für verteilte Cloud-Anwendungen und die Risikominimierung in der Unternehmens-IT ist für Verantwortliche ohnehin eine große Herausforderung. Für sie gibt es nämlich meist keine zentralen Teams und oft ist es schwierig, die Übersicht zu behalten. Hier kann ein Passwortmanager für Unternehmen schon für eine deutliche Vereinfachung der Login-Prozesse sorgen. Das reduziert Login-Frust bei den Mitarbeitenden und so die Gefahr für unsichere Passwörter gleichermaßen. Sie erhalten mit einem einzigen Passwort komfortabel, aber sicher Zugang zu all ihren Online-Konten.
Technische Lösungen gegen Phishing
Aus technologischer Sicht sollten Unternehmen außerdem einen allgegenwärtigen, über die Cloud bereitgestellten Phishing-Schutz einführen, der für Web- und Cloud-Datenverkehr gleichermaßen wirksam ist. Das Risiko, dass Nutzer am Ende jede Anfrage, die sie erhalten, also beispielsweise auch bei bösartigen Phishing-Angriffen, einfach "bestätigen", ist sehr real und ein noch größeres Risiko, wenn man die zunehmende Nutzung von Unternehmensgeräten für private Zwecke bedenkt.
Sicherheitsrichtlinien mit CASB-Tools durchsetzen
Für viele Unternehmen empfiehlt sich auch der Einsatz so genannter CASB. Die Abkürzung steht für Cloud Access Security Broker und meint eine lokale oder Cloud-basierte Stelle zur Durchsetzung von Sicherheitsrichtlinien, die zwischen Cloud-Service-Kunden und Cloud-Service-Anbietern platziert wird, um die Sicherheitsrichtlinien des Unternehmens beim Zugriff auf Cloud-basierte Ressourcen zu kombinieren und durchzusetzen.
Sicherheitskonzepte mit SASE auf Cloud-IT umstellen
Je mehr Mitarbeitende im Unternehmen immer mehr Cloud-Anwendungen nutzen, desto komplexer werden der Schutz von Unternehmensdaten und die Gewährleistung sicherer Prozesse. Deshalb ist jetzt ein guter Zeitpunkt, sich mit neuen Cloud-basierten Sicherheitskonzepten zu befassen. Denn klar ist: Das traditionelle Konzept einer Sicherheitsarchitektur, bei dem ein sicherer Bereich um die Unternehmensressourcen herum aufgebaut und der Datenverkehr überwacht wird, der in diesen sicheren Bereich hinein- und herausgeht, wird den neuen Anforderungen nicht mehr gerecht. Im Zeitalter der Cloud wird immer deutlicher, dass dieser Ansatz nicht mehr zweckmäßig ist: Daten, Anwendungen und Mitarbeitende sind in die Cloud gewandert. Die Sicherheit muss folgen.
Um den aktuellen Anforderungen einer Cloud-basierten IT-Security gerecht zu werden, stellte der Branchenanalyst Gartner 2019 einen neuen Ansatz für Sicherheitsarchitekturen vor: Secure Access Service Edge (SASE). SASE ist ein Framework für die Implementierung einer Cloud-basierten, konvergierten Infrastruktur für Netzwerk- und Sicherheitsfunktionen. SASE kombiniert dabei Konzepte wie Zero Trust, Software-Defined Wide Area Networking (SD-WAN) und Security Service Edge (SSE), um uns zu einer Sicherheits- und Netzwerkstruktur zu führen, die die Cloud und moderne Work-from-Anywhere-Umgebungen schützt und steuert. Eine solche neue Architektur bietet Unternehmen umfassende Sicherheit für eine Cloud-zentrierte Arbeitswelt – und beseitigt jeden Login-Frust.
Über den Autor
Alex Hoffmann ist Sales Engineer bei 1Password und seit 2013 in verschiedenen Rollen und Funktionen Teil des Unternehmens. Zuvor leitete er den Kundensupport für die Windows-App und war maßgeblich an der Entwicklung des Business-Sales-Teams von 1Password beteiligt. Alex hat eine Leidenschaft für menschenzentrierte Sicherheit und weiß, wo die Bedürfnisse der Kunden liegen.
(ID:49410295)
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fa/2a/fa2a8da5c4735cabe7299dc45eefd755/0109023920.jpeg "Die Cloud eröffnet nicht nur Mitarbeitern, sondern auch Cyberkriminellen neue Wege in die Unternehmenssysteme. (Bild: Yingyaipumi - stock.adobe.com)")