Vertrauliche Unternehmensdaten in falschen Händen

| Redakteur: Gerd Kucera

Michael Kleist, CyberArk: „Nach wie vor unterschätzen Unternehmen oft die mit Cloud, IoT, RPA oder DevOps verbundenen Sicherheitsgefahren.“
Michael Kleist, CyberArk: „Nach wie vor unterschätzen Unternehmen oft die mit Cloud, IoT, RPA oder DevOps verbundenen Sicherheitsgefahren.“ (Bild: CyberArk)

Die Hälfte der deutschen Unternehmen wäre eher bereit, Bußgelder für Compliance-Verletzungen zu zahlen, anstatt die eigenen Sicherheitsrichtlinien zu ändern – selbst nach einem erfolgreichen Cyberangriff.

Vor einem Jahr rügte der Sicherheitsexperte CyberArk, dass selbst nach einem Cyber-Angriff die Unternehmen meist an ihrer bisherigen Sicherheitsstrategie festhalten. Und daran hat sich eher nichts geändert – es bleibt bei Absichtserklärungen; grundlegende Technologien für die digitale Transformation bleiben ungeschützt.

Laut Ergebnisbericht der jüngsten Umfrage von CyberArk (August 2019) glauben 63% der befragten deutschen Unternehmen, dass Angreifer ihre Netzwerke problemlos infiltrieren können. Als Grund für diese Einschätzung nennt der Bericht vielfach das Fehlen einer durchgängigen Privileged-Access-Security-Strategie. Privilegierte Konten, Zugangsdaten und Secrets sind in der IT-Landschaft weit verbreitet und Angreifer haben es darauf abgesehen. Die verheerendsten Angriffe konzentrieren sich auf die Kontrolle wertvoller Assets mit privilegiertem Zugriff. Privilegierte Konten, Anmeldeinformationen und Secrets bieten einen ungehinderten Weg zu kritischen lokalen und Cloud-basierten Infrastrukturen und Anwendungen.

„Achtzig Prozent von Sicherheitsverletzungen basieren auf privilegierten Anmeldeinformationen“, konstatiert Michael Kleist, Regional Director DACH bei CyberArk. „Drei Tage nach dem ersten Zugriff können Angreifer bereits Administrator-Anmeldeinformationen auf Domänenebene erhalten. Bis zur Entdeckung vergehen durchschnittlich 99 Tage.“

Was bedeutet Privileged Access? Privilegierter Zugriff existiert in vielen Formen (beispielsweise lokale Verwaltungskonten, Domänen-Administrationskonten, Service-Konten, Anwendungs-Credentials, SSH-Keys) in der gesamten Unternehmensumgebung. Privilegierte Konten, Anmeldeinformationen und Secrets befinden sich auf Geräten, in Anwendungen und Betriebssystemen. Sie ermöglichen es Unternehmen, die Infrastruktur und Anwendungen zu betreiben, Geschäfte effizient zu führen und die Vertraulichkeit sensibler Daten zu kontrollieren. In den falschen Händen können privilegierte Anmeldeinformationen verwendet werden, um einem Unternehmen katastrophale Schäden zuzufügen. Deshalb müssen sie geschützt, verwaltet und überwacht werden.

Der aktuelle„CyberArk Global Advanced Threat Landscape 2019 Report“ hat ergeben, dass weniger als die Hälfte der deutschen Unternehmen eine Privileged-Access-Security-Strategie im Umfeld von DevOps (Development and IT Operations), IoT (Internet of Things), RPA (Robotic Process Automation) oder Cloud verfolgt, erst recht keine durchgängige über alle Bereiche. Gelangen Angreifer in den Besitz der in diesen Bereichen genutzten privilegierten Zugangsdaten können sie sich problemlos im Netzwerk seitwärts bewegen und ihre Ziele unerkannt verfolgen.

„Obwohl die Untersuchung zeigt, dass Privileged Access Security für die Befragten eine zentrale Komponente einer effizienten Cybersecurity-Strategie ist“, verdeutlicht Kleist, „werden grundlegende Technologien für die digitale Transformation nicht geschützt. Sechsundneunzig Prozent der Befragten erklären, dass die IT-Infrastruktur und kritische Daten erst dann vollständig geschützt seien, wenn privilegierte Konten und Zugangsdaten gesichert sind. Eine Privileged-Access-Security-Strategie haben aber nur siebenundvierzig Prozent für geschäftskritische Applikationen und zweiundvierzig Prozent für Cloud-Infrastrukturen.“

Noch ernüchternder sind die Zahlen bei DevOps (Development und IT Operations) und IoT (Internet of Things) nämlich nur 38% und 33%. Darüber hinaus herrsche weitgehend Unwissenheit über das Vorhandensein von privilegierten Accounts und Zugangsdaten: nur 22% ordnen sie Containern, 18% Source-Code-Repositories und 28% RPA (Robitic Process Automation) zu. In der Tat finden sich Accounts und Zugangsdaten aber in allen genannten Umgebungen.

Immerhin erkennen die befragten Unternehmen zunehmend die Bedeutung von Privileged Access Security, heißt es in der Ergebniszusammenfassung der Analyse. 27% aller Investitionen in die IT-Sicherheit wollen sie in den nächsten zwei Jahren in diesem Bereich tätigen. Kleist: „Nach wie vor unterschätzen Unternehmen oft die mit Cloud, IoT, RPA oder DevOps verbundenen Sicherheitsgefahren. Ohne eine zuverlässige Verwaltung, Sicherung und Überwachung der administrativen, privilegierten menschlichen und technischen Zugriffe bleiben sie leicht angreifbar. Eine proaktive Cybersecurity-Strategie muss immer ganzheitlich gesehen werden und deshalb alle modernen Infrastrukturen und Applikationen im Blickfeld haben. Eine entscheidende Rolle kommt dabei dem Privileged Access Management zu. Nicht umsonst hat es der IT-Marktforscher Gartner im zweiten Jahr in Folge als das Top-1-Sicherheitsprojekt für Unternehmen eingestuft.“

Was bedeutet Privileged Access Management, kurz PAM? Der Begriff steht für eine spezielle Aufgabe innerhalb des Identity- und Access-Managements (IAM). Eine PAM-Lösung arbeitet zur Absicherung der privilegierten Zugänge dabei Hand-in-Hand mit dem Identitätsmanagement zusammen. Das Identitätsmanagement stellt sicher, dass die richtige Person Zugriffsrechte für die Erfüllung ihrer Aufgaben bekommt. Das PAM sorgt dafür, dass diese Zugänge sicher verwaltet und überwacht werden, auch dann noch, wenn es sich um technische Accounts und sogenannte Shared Accounts handelt, auf die mehrere Personen Zugriff haben.

Weitere CyberArk-Ergebnisse kurz notiert

Die CyberArk-Untersuchung ging auch der Frage nach den derzeit größten Bedrohungen nach. Dabei ergibt sich folgendes Ergebnis: Im Hinblick auf die drei größten Bedrohungen nennen 75% Hacker-Aktivitäten, 61% die organisierte Kriminalität, 47% Hacktivisten und 30% privilegierte Insider; 61% der Befragten nannten Phishing als eines der derzeit größten Sicherheitsrisiken, gefolgt von Ransomware (46%) und Schatten-IT (42%).

Zudem hat die Studie die „Compliance Readiness“ thematisiert. Hierzu ergab sich ein weiteres beunruhigendes Ergebnis: Die Hälfte der Unternehmen wäre eher bereit, Bußgelder für Compliance-Verletzungen zu zahlen, anstatt die eigenen Sicherheitsrichtlinien zu ändern – selbst nach einem erfolgreichen Cyberangriff. In Deutschland erklären zudem nur 45%, dass sie auf die Meldepflicht von Sicherheitsvorfällen innerhalb der vorgeschriebenen 72-Stunden-Frist gemäß der EU-DSGVO adäquat vorbereitet sind.

Kleist: „Auch wenn in Deutschland bisher noch nicht in größerem Umfang Bußgelder verhängt wurden, ist ein Ignorieren der DSGVO-Vorgaben in unseren Augen problematisch. Wir gehen davon aus, dass Verstöße gegen Datensicherheit und Datenschutz künftig noch stärker verfolgt und auch geahndet werden. Die letzten verhängten Strafzahlungen von über 100 Millionen Euro im europäischen Ausland sind ein Vorgeschmack auf das, was auch in Deutschland zu erwarten ist.“

Das amerikanisch-israelische Sicherheitsunternehmen CyberArk hat die globale Umfrage „Advanced Threat Landscape“ nun zum zwölften Mal durchgeführt. Im Auftrag von CyberArk hat das Marktforschungsunternehmen Vanson Bourne dazu 1000 IT-Security-Entscheider und C-Level-Führungskräfte in Deutschland, Frankreich, Großbritannien, Israel, den USA, Australien und Singapur zu Themen rund um Cybersecurity befragt. CyberArk ist auf Lösungen für Privileged Access Security spezialisiert, einem kritischen Layer der IT-Sicherheit für den Schutz von Daten, Infrastrukturen und Anwendungen in Unternehmen, in der Cloud und in DevOps-Umgebungen.

Ist es Lernresistenz oder Gleichgültigkeit?

Ist es Lernresistenz oder Gleichgültigkeit?

26.07.18 - „Selbst nach einer Cyber-Attacke halten Unternehmen meist an ihrer bisherigen Sicherheitsstrategie fest. Doch Angriffe auf Infrastrukturen und Anwendungen, die bis ins Herz eines Unternehmens vordringen, kann sich schon lange niemand mehr leisten.“ lesen

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 46066793 / Industrial Networking)