[datensicherheit.de, 10.07.2018] Eine neue Studie von Centrify hat untersucht, welche Sicherheitsrisiken für Unternehmen die jüngste Generation von Arbeitskräften mit sich bringt – aufgewachsen in einer digitalen Welt, hätten jüngere Arbeitnehmer andere Erwartungen und eine andere Einstellung zur Nutzung Sozialer Medien, digitaler Apps und ihrer Arbeitsgeräte, so die Umfrage. Sicherheitslücken seien dabei zum Teil jedoch hausgemacht. Jeder zweite junge Angestellte soll demnach am Arbeitsplatz schon einmal fragwürdiges Online-Verhalten an den Tag gelegt haben: Vom Arbeitgeber bereitgestellte Computer, Laptops und Handys würden zum Beispiel für Computerspiele (28%), nicht autorisierte Anwendungen (8%) und zum Teilen von Apps mit Kollegen (12%) genutzt.

„Digital Natives“ offensichtlich überschätzt

Die aktuelle Erkentnnisse basieren laut Centrify auf einer bei Censuswide in Auftrag gegebenen Umfrage. Für die Studie seien 500 deutsche Büroangestellte im Alter von 18 bis 24 Jahren sowie 250 Entscheidungsträger in deutschen Unternehmen verschiedener Größen und Branchen befragt worden. Ziel sei es gewesen, herauszufinden ob die neue Generation von Arbeitnehmern ein größeres IT-Sicherheitsrisiko darstellt, weil sie als „Digital Natives“ einen anderen Umgang mit digitalen Technologien und Sozialen Medien pflegt als ältere Generationen.
So sorgten sich 42 Prozent der befragten Manager, dass die jüngere Arbeitnehmergeneration „Social Media“-Posts teilt, die dem Ruf des Unternehmens schaden könnten. Jeweils rund 40 Prozent befürchteten Datenschutzverstöße und Vertraulichkeitsverstöße und 35 Prozent sähen das Risiko, dass junge Mitarbeiter sich nicht an die Sicherheitsrichtlinien des Unternehmens halten.

Nachholbedarf bei jungen Mitarbeitern und beim Management

Die Sorgen der Manager seien nicht ganz unberechtigt: Immerhin sagten mehr als ein Viertel (28%) der befragten 18- bis 24-Jährigen, dass sie nur „gelegentlich“ oder „nie“ die Sicherheitsrichtlinien ihres Arbeitgebers befolgten – und das, obwohl zwei Drittel (66%) der Unternehmen Disziplinarverfahren vorgesehen hätten, wenn Mitarbeiter gegen eine der Sicherheitsvorgaben verstoßen.
Interessanterweise scheinen die Firmen selbst wenig dafür zu tun, ihre Sicherheit zu verbessern: Ganze 43 Prozent der befragten Arbeitnehmer geben demnach an, dass sie unbeschränkt auf alle Dateien im Unternehmensnetzwerk zugreifen können. Lediglich 13 Prozent müssten um Berechtigungen bitten, um auf spezifische Dateien zuzugreifen.

Bequemlichkeit und Neugier als Risiko

Obwohl das Risiko geteilter oder geborgter Passwörter laut der Umfrage mehr als der Hälfte (53%) der Entscheidungsträger schlaflose Nächte bereitet, dürften ein Drittel (32%) der befragten Nutzer ihr eigenes Passwort erstellen und selbst entscheiden, wie oft sie dieses ändern. 15 Prozent verwendeten dabei dasselbe Passwort auf ihren Arbeits- und persönlichen Geräten, und 16 Prozent hätten ihr Passwort seit über einem Jahr nicht aktualisiert. Daneben gäben 15 Prozent der 18- bis 24-Jährigen zu, Passwörter mit Kollegen geteilt zu haben.
Ebenso viele (15%) hätten schon einmal verdächtige Links oder E-Mails geöffnet, und jeder Siebte (14%) habe sich auf riskanten Webseiten eingeloggt.

Zu wenig Sensibilisierung für Risiken

Die Selbstverständlichkeit, mit der die jüngere Generation sich laut Centrify in der digitalen Welt bewegt, kann auch noch andere Risiken bergen: So sagten 50 Prozent der befragten jungen Arbeitnehmer, dass sie im Fall eines Problems mit ihrem Gerät – wie etwa einem Computervirus – versuchen würden, das Problem selbst zu beheben. 21 Prozent würden heruntergeladene Apps in einem solchen Fall löschen. Der Download von nicht genehmigten Anwendungen sei ein weiteres Verhalten, das jedem zweiten Manager Kopfzerbrechen bereite.
Dass der Arbeitgeber Geräte wie Handys und Laptops aus der Ferne überwachen kann, scheine die jungen Mitarbeiter nicht zu stören: Knapp ein Drittel (30%) seien sich dessen bewusst, sagten aber, es ändere ihr Online-Verhalten nicht.

Junge Arbeitnehmer von heute sind ggf. Führungskräfte von morgen

„Die jungen Arbeitnehmer von heute sind die Führungskräfte von morgen und anstatt sie auszubremsen, sollte der Fokus der Unternehmen darauf liegen, sich den ändernden Bedürfnissen anzupassen, dabei aber nicht die Sicherheit aus den Augen zu verlieren”, kommentiert Barry Scott, „CTO EMEA“ bei Centrify.
„Junge Mitarbeiter mögen vielleicht eine laxere Einstellung zum Thema Sicherheit haben, aber unsere Umfrage zeigt auch, dass viele Firmen keine adäquaten Richtlinien durchsetzen. Wenn Mitarbeiter jederzeit auf alle Unternehmensdaten Zugriff haben oder etwa wirksame Prozesse fehlen, um die Sicherheit von Passwörtern und Zugangsberechtigungen zu gewährleisten, verwundert es nicht, dass manche diese Lücken ausnutzen und damit nicht nur ihren eigenen Job, sondern auch den Ruf ihres Arbeitgebers gefährden.“

Barry Scott rät zu „Zero-Trust“-Sicherheit

„Weil traditionelle Sicherheitsperimeter nicht mehr existieren, gilt das veraltete Modell, Login-Versuche zunächst für legitim zu halten und zu verifizieren, heute nicht mehr. Besser ist der Ansatz der ,Zero Trust Security‘, der davon ausgeht, dass sich jederzeit ein Cyber-Angreifer im Unternehmensnetzwerk befinden kann“, erläutert Scott.
Jeder Nutzer samt Gerät müsse seine digitale Identität zweifelsfrei beweisen und dürfe nur Zugang zu den wirklich von ihm benötigten Daten und Anwendungen erhalten. Scott: „Auf diese Weise wird die Sicherheit erhöht, ohne dass die Produktivität leidet. Wichtig ist, dass effizientes Arbeiten durch eine solche Technologielösung gefördert, nicht behindert wird.”

Weitere Informationen zum Thema:

datensicherheit.de, 08.11.2016
Centrify gibt sieben Tipps zur Vermeidung von Datenlecks

datensicherheit.de, 22.10.2016
Centrify-Umfrage: Große IT-Sicherheitsmängel in den meisten Organisationen

[datensicherheit.de, 08.11.2016] Centrify hat kürzlich sieben Tipps veröffentlicht, mit denen Unternehmen Cyber-Kriminalität effektiv bekämpfen können sollen. Fortbildungen der Mitarbeiter, eine solide Verteidigungsstrategie sowie erstklassige IT-Sicherheitssoftware seien u.a. essentiell, um das Risiko von Datenlecks zu minimieren.

Cyber-Sicherheit ebenso wichtig wie physische Sicherheit

Heutzutage sei Cyber-Sicherheit ebenso wichtig wie physische Sicherheit. Jedes Unternehmen müsse sich „proaktiv“ damit befassen, denn jedes Unternehmen könne angegriffen werden.
Das Risiko von Cyber-Attacken existiere auf allen Ebenen, ob im Pausenraum oder im Konferenzraum des Vorstands. Cyber-Angriffe könnten schnell kostspielig werden: Der „Ponemon’s 2016 Cost of Data Breach Study“ zufolge würden die durchschnittlichen Kosten einer Attacke vier Millionen US-Dollar betragen.

7 Tipps von Centrify

Nachfolgend sind einige „Best Practices“ von Centrify gelistet, mit denen Unternehmen Cyber-Kriminalität effektiv bekämpfen und gleichzeitig das Budget für IT-Sicherheit senken sollen:

1. Digitale Identitäten konsolidieren:
   „Verizon’s 2016 Data Breach Investigation Report“ zufolge ließen sich 63 Prozent aller Datenlecks auf schwache, voreingestellte oder gestohlene Passwörter zurückführen.
   Es sei wichtig, sich einen ganzheitlichen Überblick über alle Anwender zu verschaffen und Sicherheitsrichtlinien für Passwörter zu stärken sowie durchzusetzen. Wo immer es möglich ist, sollten Passwörter abgeschafft werden!
2. Auditieren des Risikos, das von Dritten ausgeht:
   Hacker gelangten oft über ausgelagerte IT oder Vertriebspartner von außerhalb ins Netzwerk. Unternehmen sollten Audits und Assessments durchführen, um die Sicherheit und Datenschutzstandards Dritter zu überprüfen.
3. Implementierung von Multifaktor-Authentifizierung (MFA) in allen Bereichen:
   MFA gelte als eine der effektivsten Maßnahmen, um Angreifer daran zu hindern, Zugriff auf das Netzwerk zu erhalten und zu Zielsystemen zu gelangen.
4. Single Sign-On (SSO) ermöglichen:
   SSO für Unternehmens- und Cloud-Apps spare – gemeinsam mit automatischer Provisionierung von Cloud-Applikationen und selbstständigen Passwort-Resets – Helpdesk-Zeit sowie Kosten und steigere die Effizienz der Anwender.
5. Least-Privilege-Zugänge durchsetzen:
   Rollenbasierter Zugriff, Least-Privilege und Just-in-Time-Gewährung von Rechten schützten wichtige Accounts und reduzierten die Gefahr des Datenverlusts durch böswillige Insider.
6. Steuern von Sessions privilegierter Anwender:
   Protokollierung und Überwachung aller Befehle privilegierter Anwender machten Compliance-Reports endlich wieder zur Nebensache und ermöglichten forensische Ermittlungen und tiefgreifende Analysen.
7. Das innere Netzwerk schützen:
   Netzwerksegmentierung, Isolation hochsensibler Daten sowie Verschlüsselung von Daten sowohl im Ruhezustand als auch während der Verarbeitung böten starken Schutz vor böswilligen Insidern und hartnäckigen Hackern, die es hinter die Firewall geschafft haben.

Richtige Strategie, starke Sicherheitsrichtlinien und aktive Beteiligung aller Mitarbeiter

„Es gibt kein Wundermittel gegen IT-Sicherheitsbedrohungen“, betont Michael Neumayr, „Regional Sales Director Zentraleuropa“ bei Centrify.
Aber mit der richtigen Strategie, starken Sicherheitsrichtlinien und aktiver Beteiligung aller Mitarbeiter könne das Risiko einer Cyber-Attacke drastisch minimiert werden, so Neumayr. Wenn Unternehmen die oben angeführten Schritte befolgen, könnten sie das Risiko von Cyber-Angriffen senken, die unternehmensweite Compliance verbessern und von Kostenvorteilen profitieren.

Weitere Informationen zum Thema:

datensicherheit.de, 22.10.2016
Centrify-Umfrage: Große IT-Sicherheitsmängel in den meisten Organisationen

[datensicherheit.de, 22.10.2016] Centrify hat die Ergebnisse einer auf der „it-sa 2016“ durchgeführten Umfrage bekanntgegeben. Diese sei in Nürnberg am Messestand von Centrify vom 18. bis 20. Oktober 2016 durchgeführt worden: Spannend seien insbesondere Veränderungen zur Umfrage im Vorjahr.

Rein passwortgeschützter Zugang unzureichend

Die Antworten der 48 IT-Sicherheitsexperten von 2016 belegten erneut, dass rein passwortgeschützte Zugangsdaten für die Unternehmens-IT nicht ausreichten:

• Zwar gäben fünf Prozent mehr der Befragten im Vergleich zu 2015 an, dass sie unterschiedliche Passwörter für alle Accounts und Systeme nutzten.
• Allerdings gäben gut sechs Prozent weniger Befragte als 2015 an, dass in ihrer Organisation eine „Single-Sign-On“-Lösung (SSO) genutzt werde.
• 17 Prozent hätten diesmal bestätigt, dass sie nur zwischen ein bis fünf Passwörter nutzten (2015: 24 Prozent).
• Fast acht Prozent der Befragten gäben erschreckenderweise sogar zu, lediglich ein Passwort für all ihre Systeme und Online-Accounts zu nutzen (2015: ebenfalls knapp acht Prozent).

Risiko: Weitergabe von eigenen Logindaten

Eine große Schwachstelle von passwortbasierter Sicherheit sei im Vergleich zu 2015 leider nochmals deutlich angewachsen: So seien die Besucher des Centrify-Stands gefragt worden, ob sie schon Logindaten an Mitarbeiter und/oder Dienstleister außerhalb des Unternehmens weitergegeben hätten – fast die Hälfte, knapp 46 Prozent, habe dieses Jahr zugegeben, dies getan zu haben (2015 nur knapp 30 Prozent).

Reduzierung der Produktivität

Auch die Produktivität werde 2016 weiterhin durch Passwörter negativ beeinträchtigt. Die IT-Sicherheitsexperten seien befragt worden, wie gut sie sich ihre Passwörter merken können:

• Einige Befragte (zwei Prozent) vergäßen Passwörter mehrmals am Tag, einmal am Tag (zwei Prozent) oder mehrmals in der Woche (sechs Prozent), knapp 30 Prozent jedoch mehrmals im Monat.
• Zudem sei die Zahl der Anwender, die nie Passwörter vergessen, um 14 Prozent gesunken (von 68 Prozent im Jahr 2015 auf 54 Prozent 2016).

Dies deutet laut Centrify darauf hin, dass die Explosion der Anzahl an Identitäten und die Zunahme von Passwörtern die Produktivität zunehmend einschränkt.
Die Mitarbeiter müssten jetzt noch häufiger Passwörter nachschlagen oder die Hilfe des Helpdesks in Anspruch nehmen, um ihr Passwort zurückzusetzen. Selbstverständlich sei es auch ein extremes Sicherheitsrisiko, wenn Passwörter in ungesicherten Dokumenten gespeichert werden.

Große Mängel bei der IT-Sicherheit der meisten Organisationen

Werden die IT-Sicherheitsexperten nach ihrer eigenen Einschätzung gefragt, offenbarten sich große Mängel bei der IT-Sicherheit der meisten Organisationen:

• Knapp 15 Prozent der Befragten fänden, dass die IT ihres Unternehmens zu restriktiv aufgestellt sei und sie nur mit großem Aufwand auf die Systeme zugreifen könnten, die sie für ihre Arbeit benötigen (2015 nur knapp drei Prozent).
• Für 39 Prozent sei genau das Gegenteil der Fall: Sie fänden die IT-Sicherheit nicht restriktiv genug und könnten zu einfach auf Systeme zugreifen, die sie nicht benötigen (2015 nur 23 Prozent). Nur 45 Prozent fänden, dass sie genau den richtigen Level an Zugriffsrechten hätten (2015 noch knapp 74 Prozent).

Fazit: Kein beruhigendes Bild der IT-Sicherheit

Auch 2016 zeichnet diese Umfrage laut Centrify kein beruhigendes Bild der IT-Sicherheit. Zudem ließen sich im Vergleich zu 2015 besorgniserregende Trends feststellen:

• Noch immer verwende fast jeder Zehnte ein Passwort für all seine Systeme und Online-Accounts.
• Auch sei die Zahl der Befragten gestiegen, die Logindaten an Mitarbeiter und/oder Dienstleister außerhalb des Unternehmens weitergäben – von knapp 32 Prozent 2015 auf fast 46 Prozent 2016.

Stark verschlechtert habe sich auch die Einschätzung der IT-Sicherheitsexperten zum Sicherheitslevel in ihrer Organisation gegenüber 2015:

• Mehr Befragte fänden den Sicherheitslevel zu niedrig bzw. zu hoch.
• Neben dem Sicherheitsaspekt zeige sich auch, dass Passwörter die Produktivität einschränkten.
• Cyber-Attacken und Datendiebstähle hätten oft verheerende Auswirkungen für Unternehmen und könnten sogar ihren Bankrott bedeuten. Und eine im Vergleich zu Wettbewerbern zu niedrige Produktivität sei ebenfalls ein Grund für den Untergang von Unternehmen.

Als Fazit empfiehlt Centrify neue Lösungen wie beispielsweise SSO und Multifaktor-Authentifizierung, welche Passwörter eliminieren und damit die verbundenen Sicherheits- und Produktivitätsverluste.