Nur wenige Unternehmen setzen eine Lösung zur regelmäßigen, automatischen Änderung von Administratoren-Passwörtern ein

[datensicherheit.de, 03.11.2009] Im Rahmen der Leitmesse für IT-Security (it-sa 2009) in Nürnberg wurden vom IT-Sicherheitsunternehmen  Cyber-Ark 283 IT-Experten aus überwiegend größeren Unternehmen in Deutschland zum Thema Passwort-Management interviewt.
Zentrale Fragen der Untersuchung waren “Gibt es bei Ihnen im Unternehmen eine Lösung zur automatischen (nicht manuellen) Verwaltung von Administratoren-Passwörtern?” und “Wie oft werden bei Ihnen Passwörter von Administratoren geändert?”.

Rund 65 Prozent der Interviewten antworteten, sie setzten keine Lösung zum automatischen Passwort-Management im Unternehmen ein.

© CyberArk

Fast 40 Prozent änderten zudem ihre Passwörter nur einmal im Jahr oder in unregelmäßigen Abständen, 15 Prozent sogar niemals.

© CyberArk

Es sei nicht erstaunlich, daß die Passwörter bei einer fehlenden “automatischen” Lösung nur selten oder überhaupt nicht geändert würden, da dies dann nur mit einem erheblichen manuellen Aufwand erfolgen könne. Bemerkenswert sei ferner, dass bei über 30 Prozent der befragten Unternehmen keine Zugriffskontrolle bei der Verwendung von Passwörtern vorhanden sei.

Jochen Koehler, Deutschland-Chef von Cyber-Ark in Heilbronn, betont: “Auch wenn das Thema IT-Sicherheit heute in fast jedem Unternehmen eine wichtige Rolle spielt, zeigt die Studie deutlich, dass gerade bei den privilegierten Accounts noch vieles im Argen liegt. Nur mit umfassenden Security-Maßnahmen von der Zugangsbeschränkung bis zur Überwachung aller Aktivitäten kann das gerade in diesem Bereich hohe Risiko einer unerlaubten Nutzung vertraulicher Informationen oder auch des Datendiebstahls zuverlässig ausgeschlossen werden.” Besonders kritisch ist es, dass annähernd 45 Prozent der befragten Unternehmen identische Passwörter für unterschiedliche IT-Systeme oder -Applikationen wie Server, Desktops, Datenbanken, Router oder Firewalls verwenden. “Das ermöglicht Berechtigten quasi einen universellen Zugriff auf alle unternehmenskritischen Daten und Systeme. Und eine Nachvollziehbarkeit, wer was gemacht hat, ist damit überhaupt nicht mehr möglich”, kommentiert Koehler.
Weitere Ergebnisse der Untersuchung zeigten, daß die mangelhafte Verwaltung der Administratoren-Accounts für die Unternehmen auch erhebliche Gefahren mit sich bringe. So hätten zum Beispiel über 30 Prozent der Befragten schon einmal unter Nutzung eines privilegierten Accounts auf vertrauliche Unternehmensinformationen zugegriffen. Und mehr als 35 Prozent erklärten, dass sie unter Umgehung der vorhandenen Sicherheitsmaßnahmen auch jederzeit unternehmenskritische Datenbestände einsehen könnten. Nicht zuletzt gaben über 20 Prozent zu, dass sie beim Verlassen des Unternehmens vertrauliche Informationen mitnehmen würden.
Cyber-Ark, nach eigenem Bekunden Marktführer im Bereich Privileged Identity Management, bietet mit dem Enterprise Password Vault eine Lösung an, die eine geschützte Verwahrung und regelmäßige, automatische Änderung von Passwörtern ermöglicht. Darüber hinaus kann mit ihr durch eine vollständige Zugriffskontrolle und Protokollierung die Nutzung von privilegierten Accounts zu jeder Zeit überprüft werden.