IT-Sicherheit als Blinder Fleck: Viele Unternehmen fühlen sich ausreichend geschützt

Häufig ein Trugschluss der Unternehmen und mit extrem hohen Sicherheitsrisiken verbunden

[datensicherheit.de, 15.06.2022] Obwohl Cyber-Risiken offensichtlich zunehmend an Bedeutung gewinnen, bleiben aber laut einer aktuellen Umfrage von CyberArk die erforderlichen Investitionen in die IT-Sicherheit oft unzureichend, weil viele Unternehmen sich „ausreichend geschützt“ fühlten. Dies sei aber häufig ein Trugschluss und mit extrem hohen Sicherheitsrisiken verbunden. Viele Unternehmen trieben die Digitalisierung aktiv voran – das Thema Cyber-Sicherheit werde dabei aber vernachlässigt, so 73 Prozent der befragten IT-Entscheider in Deutschland.

Befragte Unternehmen oftmals mit Ausreden für mangelnde Investitionen in IT-Sicherheit

Die befragten Unternehmen hätten den Verzicht auf Investitionen in die Sicherheit unterschiedlich begründet – gängige Aussagen sind demnach:

• „Wir sind schon genug abgesichert, etwa durch den Perimeterschutz.“
• „Was soll denn geschehen? Wir sind doch zu klein und damit uninteressant für Hacker.“
• „Bisher ist ja noch nichts passiert.“

Diese Einschätzungen würden der aktuellen IT-Sicherheitslage indes nicht gerecht. Schließlich nähmen die Sicherheitsrisiken auf breiter Front zu. Dafür gebe es verschiedenste Gründe wie raffiniertere Methoden der Hacker oder die zunehmende Nutzung von „Cloud“-Services. Die „Cloud“ sei ein gutes Beispiel dafür, dass klassische, auf den Netzwerkperimeter abzielende Sicherheitsmaßnahmen an Bedeutung verlören.

Unternehmen sollten eine identitätsbasierte Sicherheitsstrategie verfolgen!

Als neuer Perimeter habe sich die Identität herauskristallisiert. Sie sei damit die wichtigste Verteidigungslinie für Unternehmen. Deshalb sollten Unternehmen auch eine identitätsbasierte Sicherheitsstrategie verfolgen, welche alle Nutzer, Systeme, Applikationen und Prozesse berücksichtige. Wichtige Aspekte seien dabei „Zero Trust“, „Least Privilege“ und MFA.

Zero-Trust-Prinzip
Unter anderem sei die Überprüfung sämtlicher Akteure und Prozesse vorgesehen, welche eine Verbindung zu kritischen Systemen herstellen wollen. „Jede Identität, die auf Unternehmensressourcen zugreifen will, wird dabei immer mit mehreren Faktoren verifiziert – je kritischer der Zugriff, desto stärker die Authentisierung.“

Least-Privilege- und Just-in-Time-Ansätze
Damit werde eine dauerhafte Rechteansammlung vermieden – Anwender erhielten abhängig von der durchzuführenden Tätigkeit passende Rechte. Damit werde auch die potenzielle Angriffsfläche für Hacker deutlich reduziert.

Multi-Faktor-Authentifizierung (MFA)
Die MFA gehöre in einer Zeit zunehmender Cyber-Angriffe zu den elementaren Sicherheitskontrollen. Von Vorteil sei insbesondere die Nutzung einer adaptiven, kontextbasierten MFA, welche einerseits die Produktivität aufrechterhalte und andererseits die Sicherheitsrisiken minimiere.

Digitalisierung der Unternehmen und IT-Sicherheit müssen im Einklang entwickelt werden!

„Als Hersteller von Sicherheitslösungen stehen wir im Wettbewerb mit zahlreichen anderen Anbietern. Auf die Frage nach unserem größten Wettbewerber müssen wir aktuell allerdings sagen: Es ist die Haltung einiger Unternehmen, die in Sachen Sicherheit keinen größeren Handlungsbedarf sehen. Das ist aber eine Fehleinschätzung, die schnell nach hinten losgehen kann“, erläutert Michael Kleist, „Area Vice President DACH“ bei CyberArk.

Nicht ohne Grund warne etwa das Bundesamt für Sicherheit in der Informationstechnik (BSI) regelmäßig vor einer wachsenden Bedrohungslage, und zwar nicht nur für große Unternehmen, sondern gerade auch für den deutschen Mittelstand. Kleist betont: „Digitalisierung und Sicherheit müssen im Einklang entwickelt werden.“

Weitere Informationen zum Thema:

CYBERARK
The CyberArk 2022 Identity Security Threat Landscape Report / Massive Growth of Digital Identities Is Driving Rise in Cybersecurity Debt