Knappe Budgets bremsen wichtige Security-Projekte aus
Die Herausforderungen für IT-Abteilungen nehmen zu. Dies liegt zum einen an der fortschreitenden Migration in die Cloud, vor allem aber daran, dass Cyberkriminelle immer versierter werden und Unternehmen immer häufiger Hackerangriffen zum Opfer fallen.
Tatsache ist, dass die sich stetig verschärfende Bedrohungslandschaft von Unternehmen viel abverlangt, allen voran erfordert sie eine adäquate Sicherheitsstrategie. Doch diese auszuarbeiten und umzusetzen ist für IT-Verantwortliche längst kein Kinderspiel, wie eine neue CISO-Befragung von Delinea zeigt. So gab über die Hälfte der befragten IT-Security-Professionals an, dass ihre momentane Sicherheitsstrategie nicht mit der aktuellen Bedrohungslage Schritt hält. 20 Prozent der Befragten glauben demnach, dass sie mit ihren Sicherheitspraktiken hinterherhinken, 13 Prozent sind der Meinung, auf der Stelle zu treten, und lediglich 27 Prozent versuchen überhaupt, der aktuellen Bedrohungssituation gerecht zu werden.
Digitale Identitäten werden schlecht verwaltet und abgesichert
Schlechte Sicherheitskontrollen sind in Unternehmen leider keine Seltenheit, vor allem in Bezug auf digitale Identitäten. So hat nur weniger als die Hälfte der befragten Unternehmen kontinuierliche Sicherheitsrichtlinien und -prozesse für die Verwaltung von privilegierten Zugriffen implementiert, wie z. B. eine Rotation oder Genehmigung von Passwörtern, zeit- oder kontextbasierte Sicherheit oder Privileged Behavior Monitoring, wie z. B. Aufzeichnungen und Audits. Noch besorgniserregender ist jedoch, dass mehr als die Hälfte aller Befragten es privilegierten Benutzern erlauben, auf sensible Systeme und Daten zuzugreifen, ohne dass eine Multi-Faktor-Authentifizierung (MFA) erforderlich ist.
Und auch ein weiteres gefährliches Versäumnis bringt der Report ans Licht: Denn obwohl zu den privilegierten und damit schützenswerten Identitäten neben menschlichen Usern, wie Domain- und lokale Administratoren, auch nicht-menschliche Identitäten, wie Dienstkonten, Anwendungskonten, Code und andere Arten von Maschinen-Identitäten gehören, die automatisch Verbindungen herstellen und privilegierte Informationen freigeben, laufen letztere oft unter dem Radar. Nur 44 Prozent der Unternehmen verwalten und sichern diese maschinellen Identitäten angemessen ab, während die Mehrheit sie ungeschützt lässt und damit anfällig für Angriffe macht.
Das ist sehr gefährlich, denn Cyberkriminelle suchen immer nach dem schwächsten Glied, und das Übersehen von ‚nicht-menschlichen‘ Identitäten erhöht das Risiko von Privilegien-basierten Angriffen erheblich. Wenn Angreifer Maschinen- und Anwendungsidentitäten anvisieren, können sie sich leicht verstecken und im Netzwerk bewegen, um den besten Ort für einen Angriff zu finden, wo sie den größten Schaden anrichten können. Unternehmen müssen deshalb unbedingt sicherstellen, dass auch Maschinen-Identitäten in ihre Sicherheitsstrategien einbezogen werden und zudem Best Practices befolgen, wenn es um den Schutz all ihrer IT-‚Superuser‘-Konten geht, die, wenn sie kompromittiert werden, das gesamte Unternehmen zum Stillstand bringen können.
Wenn die Unterstützung „von oben“ fehlt
Bleibt die Frage, warum die Sicherheitsstrategie von Unternehmen nicht mit der aktuellen Bedrohungslage Schritt halten kann. Auch hierzu gibt der Report Antworten. Denn obwohl die Geschäftsführung die Bedeutung von Identitätssicherheit mittlerweile erkannt hat, erhält der Großteil der Sicherheitsteams dennoch nicht die Unterstützung und vor allem das nötige Budget, um wichtige Sicherheitskontrollen und -lösungen umzusetzen, die ihnen helfen, die größten Risiken zu reduzieren und der Bedrohungslage Herr zu werden. So befürchten drei Viertel der IT- und Sicherheitsexperten, dass ihre Maßnahmen beim Schutz privilegierter Identitäten zu kurz greifen, weil sie nicht die nötige Unterstützung „von oben“ erhalten und mehr als die Hälfte moniert, dass ihre die Identitätssicherheit und die Rolle, die sie bei der Ermöglichung besserer Geschäftsabläufe spielt, noch nicht vollständig versteht.
Fazit
IT-Abteilungen müssen zukünftig noch stärker mit ihren Vorgesetzten zusammenarbeiten, Risiken verständlich machen und entsprechende Budgets einfordern. Gelingt dies nicht, werden die Unternehmen auch weiterhin nicht in der Lage sein, ihre Privilegien angemessen zu schützen, und daher anfällig für Cyberkriminelle sein.