[datensicherheit.de, 18.06.2025] „Im Kampf gegen Cyberkriminelle können es sich Unternehmen nicht leisten, auf der Stelle zu treten!“, betont Andreas Müller, „Vice President Enterprise Sales CE“ bei Delinea, in seiner aktuellen Stellungnahme und führt aus, „warum sie insbesondere ihre Ransomware-Abwehr überdenken müssen und was es für den Schutz gegen die Cybererpresser braucht“.

Foto: Delinea

Andreas Müller prognostiziert: Das Thema „Agentic AI“ im Security-Bereich wird zunehmend an Bedeutung gewinnen

Betrüger veräußern Anmeldedaten im DarkWeb und treiben so das Wachstum des Ransomware-Marktes

Die Anzahl erfolgreicher Cyberangriffe gehe erneut durch die Decke, so der Bitkom. Demnach ist der Anteil der betroffenen Unternehmen im Jahr 2024 von 72 auf 81 Prozent gestiegen. Bei etwa einem Drittel (31%) davon habe Ransomware den größten Schaden angerichtet (2023: 23%).

• Müller erörtert, was den Erfolg von Ransomware-Angriffen begünstigt: „Wer über die Anmeldedaten von Personen aus einem Unternehmen verfügt, kann sich in der Regel ganz einfach im System anmelden und sich frei bewegen – sofern keine zusätzlichen Sicherheitsmechanismen wie Multifaktor-Authentifizierung oder eingeschränkte Zugriffsprivilegien aktiv sind.“

Für ein zusätzliches „Taschengeld“ verkauften viele Betrüger die Anmeldedaten im sogenannten DarkWeb, was zum Wachstum des Ransomware-Marktes beitrage (Initial Access Broker).

„Ransomware-as-a-Service“ als erfolgreiches Geschäftsmodell

Bekannt als „Ransomware-as-a-Service“-Modell böten kriminelle Gruppen und Einzelgänger darüber hinaus sowohl ihre Dienste als auch ihre „Tools“ gegen Zahlung im DarkWeb an. Damit könnten sogar Cybercrime-Laien ohne nennenswerte Hacking-Skills Unternehmen erpressen.

• „Ein weiteres rentables Geschäftsmodell bildet ,Double Extortion’ – also die doppelte Erpressung: zunächst durch Datenverschlüsselung und anschließend durch Veröffentlichung oder Verkauf der Daten an Höchstbietende.“

„And last, but not least“, so Müller: Cyberkriminellen stehe – wie allen anderen auch – die Welt zu neuen Technologien offen. Mithilfe von KI steigerten sie zum Beispiel die Erfolgsrate ihrer Phishing-Kampagnen, „indem sie damit unter anderem die Inhalte glaubwürdiger gestalten“.

Schwachstellen in IT-Abteilungen begünstigen Ransomware-Angriffe

Es gebe verschiedene Faktoren, welche es Cyberkriminellen unter günstigen Umständen besonders leicht machten, Unternehmen „Ransomware unterzujubeln und sich dadurch sensible Daten unter den Nagel zu reißen“. Diese Schwachstellen erklärten, „wieso Angriffe so häufig und erfolgreich sind und warum Unternehmen lange unter den Folgen von Ransomware-Attacken leiden müssen“.

1. Schwachstelle: Die Bereitschaft, nachzugeben
   Über die Hälfte der Unternehmen hätten sich laut einer aktuellen Studie gegen die allgemein bekannten Handlungsempfehlungen entschieden und das verlangte Lösegeld mit der Aussicht gezahlt, den Wiederherstellungsprozess zu beschleunigen.
   „Allerdings haben sie es mit Kriminellen zu tun, die nicht immer ihr Wort halten. 26 Prozent, die sich auf die Forderungen eingelassen haben, erhielten ihre Daten nicht zurück.“
   Somit gebe es keine Garantie, dass Angreifer die verschlüsselten Systeme und Daten wieder freigeben, geschweige denn darauf verzichten, ihre Ausbeute im DarkWeb zu Geld zu machen.
2. Schwachstelle: Alleiniges Vertrauen in die Basics
   Wenn es um Cybersicherheit geht, setzten sehr viele Unternehmen auf diese vier Top-Maßnahmen: regelmäßige Updates, Backups sensibler Daten, vorgeschriebene Passworthygiene sowie Anwendungskontrollen.
   „Robustere Mechanismen wie Identity- und Access-Management sucht man hier vergeblich.“
   So hilfreich die aufgezählten Maßnahmen auch seien – die steigende Anzahl von Ransomware-Opfern beweise, dass sie allein nicht ausreichten, um sich wirksam gegen Phishing-Angriffe und Datendiebstahl zu schützen.
3. Schwachstelle: Verschobener Fokus
   Auch wenn es in vielen Unternehmen an fortschrittlicheren Sicherheitsmaßnahmen fehle, seien die meisten von ihnen (90%) zumindest teilweise auf den Ernstfall vorbereitet.
   Dieser Anteil verfüge nach eigenen Aussagen nämlich über Incident-Response- und Backup-Pläne. Allerdings zeigten die Umfrageergebnisse auch hierbei, dass die Konzepte mit hoher Wahrscheinlichkeit ihre Lücken hätten.
   „Denn 75 Prozent der Unternehmen benötigten im Schnitt zwei Wochen, um sich von einem Ransomware-Angriff zu erholen und ihre Ressourcen wiederherzustellen. Lediglich 18 Prozent schafften das innerhalb von 24 Stunden.“
4. Schwachstelle: Reaktion statt Prävention
   „So lange es Sicherheitslücken gibt und Opfer bereitwillig das Lösegeld zahlen, bleibt die Bedrohung bestehen.“
   Gleichzeitig vergrößere sich aufgrund technologischer Innovationen die Angriffsfläche in Unternehmen, „was Cyberkriminellen in die Karten spielt und den Schutz vor Datendiebstahl verkompliziert“.
   Dies mache eine präventive, proaktive und mehrschichtige Abwehrstrategie unerlässlich, welche grundlegende und fortschrittliche Sicherheitsmaßnahmen sowie Incident-Response- und Recovery-Pläne miteinander verbindet.

Wissen erforderlich, welche Mitarbeiter und Geräte sich aktuell im Netzwerk befinden

„Dazu gehören zum einen die wichtigen Basics wie risikobasiertes Patching, regelmäßige Backups, Anwendungskontrollen, aber auch Security-Awareness-Schulungen für alle Mitarbeitenden.“

• Zum anderen spiele das Thema Access- und Identity-Management eine essenzielle Rolle. In diesem Kontext bildeten „Privileged Access Management“, „Least Privilege“, „Governance“ und „Zero Trust“ den Hauptbestandteil einer robusten Sicherheitsstrategie.

Denn nur wer ganz genau weiß, welche Mitarbeiter und Geräte sich im Netzwerk befinden und ihnen nur ein Mindestmaß an Privilegien zuschreibt, könne das Risiko durch ungewollte Dritte minimieren.

Einsatz von KI-Technologien zur zusätzlichen Stärkung der Ransomware-Abwehr

Der Einsatz von KI-Technologien könne die Ransomware-Abwehr zusätzlich stärken. Dabei gehe es vor allem darum, potenzielle Bedrohungen und aktive Angriffe so schnell wie möglich aufzudecken. „Dafür eignet sich ein KI-gestütztes Sicherheitssystem besonders gut, da es Unmengen an Daten durchgehend analysieren und Ausschau nach verdächtigen Mustern und Abweichungen halten kann (Indicators of Compromise).“

• Neben Bedrohungsdaten könne es auch nach Verhaltensauffälligkeiten, unerwartet überprivilegierten Identitäten und nach verdächtigen Inhalten in E-Mails – sowohl im Text als auch im Anhang – suchen.

Künftig werde zudem das Thema „Agentic AI“ im Security-Bereich zunehmend an Bedeutung gewinnen, „da ein solches System autonom Aufgaben wie ,Threat Hunting’ und ,Intelligent Policy Authorization’ übernehmen kann und somit bereits stark unterbesetzte und unterbudgetierte IT-Teams noch mehr entlastet“.

Weitere Informationen zum Thema:

DELINEA, 2025
REPORT: 2025 State of Ransomware Report / Adapting with agility to a fast-changing threat landscape

bitkom, 28.08.2024
Wirtschaftsschutz 2024 / Dr. Ralf Wintergerst, Bitkom-Präsident

datensicherheit.de, 08.06.2025
Jährlich droht die Ransomware: eco fordert konsequente Cyberresilienz-Strategien / Laut „Bundeslagebild Cybercrime 2024“ des BKA bleibt Ransomware die größte Bedrohung für Unternehmen und KRITIS

datensicherheit.de, 14.05.2025
Ransomware Reloaded: 2025 droht das bisher gefährlichste Jahr zu werden / „Ransomware war noch nie so aggressiv, anpassungsfähig oder trügerisch!“, warnt Marco Eggerling in seinem Kommentar zum diesjährigen „Anti-Ransomware-Tag“

datensicherheit.de, 12.05.2025
Internationaler Anti-Ransomware-Tag: KnowBe4 prognostiziert agentenbasierte KI-Ransomware als neuen Angriffsvektor / In naher Zukunft ist mit dem Auftreten einer neuen Art von Ransomware, welche agentenbasierte KI für schnellere und effektivere Angriffe nutzt, zu rechnen – diese wird voraussichtlich zu einer neuen Bedrohung werden

[datensicherheit.de, 23.05.2025] Mittels Generativer Künstlicher Intelligenz (GenAI) erhalten Unternehmen die Möglichkeit, sich deutlich effizienter als bisher aufzustellen – doch neben möglichen Effizienzgewinnen birgt deren kontinuierliche und rasante Weiterentwicklung auch Sicherheitsrisiken. Deshalb sollten Unternehmen einen ganzheitlichen Ansatz verfolgen, um bereits im Vorfeld Gefahren durch sogenannte Schatten-KI oder Sicherheitslücken zu vermeiden. Andreas Müller, „Vice President Enterprise Sales Central and Eastern Europe“ bei Delinea, erläutert in seiner aktuellen Stellungnahme, welche drei Maßnahmen Unternehmen für eine zukunftsfähige und sichere GenAI-Integration ergreifen sollten.

Foto: Delinea

Andreas Müller: Mit einem ganzheitlichen Sicherheitsansatz, der „Governance“, technische Kontrollen und Datenmanagement zusammenführt, können Unternehmen ihre Risiken deutlich minimieren

Unternehmen benötigen ganzheitlichen Ansatz, um „Governance“, Technologie und adaptive Sicherheitslösungen zu vereinen

„Die Geschwindigkeit, mit der sich GenAI heute entwickelt, birgt großes Potenzial für Unternehmen – aber auch Risiken. Wer Sicherheitslücken, Datenschutzverstöße und Schatten-IT vermeiden will, braucht einen ganzheitlichen Ansatz.“

• Müller gibt zu bedenken: „Die rasante Entwicklung von ,Generative AI’ (GenAI) verändert Branchen und Geschäftsprozesse tiefgreifend. Das Innovationspotenzial ist enorm – doch die schnelle Entwicklung birgt auch Risiken. Sicherheits- und Datenschutzverletzungen oder ,Compliance’-Verstöße können schnell entstehen, wenn die Technologie unkontrolliert eingesetzt wird.“

Um das volle Potenzial sicher, verantwortungsvoll und ethisch auszuschöpfen, brauchten Unternehmen einen ganzheitlichen Ansatz, welcher „Governance“, Technologie und adaptive Sicherheitslösungen vereint. Nachfolgend benennt Müller die drei erforderlichen Schritte:

1. Schritt für Unternehmen: „Governance – klare Regeln und Verantwortung!“

Ein verantwortungsvoller Einsatz von GenAI beginne mit klaren Strukturen und Zuständigkeiten. Unternehmen sollten hierfür ein bereichsübergreifendes Team zusammenstellen, um Sicherheits-, Rechts-, „Compliance“- und IT-Perspektiven zu verbinden. Müller erklärt: „Dieses Team sollte die Verantwortung für den Einsatz von GenAI-Lösungen im Unternehmen sowie die Einhaltung globaler Richtlinien – wie etwa der ,EU AI Act’ oder die OECD-Leitlinien – tragen.“

• Ebenso wichtig sei ein klar definiertes ethisches Leitbild: „Entscheidungen, die mithilfe von Künstlicher Intelligenz (KI) getroffen werden, müssen nachvollziehbar sein und stets überprüft werden. Das ist wichtig, um zum Beispiel algorithmischen ,Bias’ zu erkennen – insbesondere in Bereichen wie ,Recruiting’, Finanzen oder im Gesundheitswesen. Zudem sollten Unternehmen regelmäßig prüfen, wie sich der eigene KI-Einsatz auf die Organisation, die Wirtschaft und Gesellschaft auswirkt.“

Entscheidend sei zudem, dass auch Mitarbeiter kontinuierlich und auf allen Ebenen im Umgang mit KI geschult werden. „So müssen Entwickler verstehen, wie sie KI-Systeme sicher und fair gestalten, während Anwender lernen müssen, kritisch mit Ergebnissen umzugehen.“

2. Schritt für Unternehmen: „Technologiekontrollen – Modelle, Daten und Systeme gezielt absichern!“

Um GenAI-Systeme wirksam zu schützen, müssten Unternehmen von Anfang an geeignete Sicherheitsmaßnahmen implementieren. „Sie sollten alle Interaktionen mit KI sowie ihre Ergebnisse genau protokollieren, um verdächtiges Verhalten schnell zu erkennen und im Ernstfall gezielt eingreifen zu können.“

• Lösungen wie z.B. „Identity Threat Detection and Response“ (ITDR) könnten dabei helfen, Angriffsversuche in Echtzeit aufzudecken. Gleichzeitig gelte es, Zugriffe auf Modelle und Trainingsdaten konsequent zu beschränken. „Durch regelmäßige Audits, den Einsatz von Hashing-Verfahren und klar geregelte Zugriffsrechte behalten Unternehmen Kontrolle über die Integrität ihrer Daten.“

Auch sogenannte Schatten-IT, also unautorisierte KI-Anwendungen im Unternehmen, erfordere aktives Handeln. Mit gezielten Endpoint- und Browser-Kontrollen sowie automatischer Tool-Erkennung könnten IT-Teams solche Anwendungen aufspüren und zentral kontrollieren, bevor Risiken entstehen.

3. Schritt für Unternehmen: „Datenzugang und Datenkontrolle stärken!“

GenAI sei nur so sicher wie die Daten, mit denen sie arbeitet. „Unternehmen sollten den Zugang daher konsequent absichern!“ Hierfür eigneten sich beispielsweise zeitlich begrenzte Zugriffsrechte (Just-in-time) nach dem Least-Privilege-Prinzip, Privileged-Access-Management-Lösungen (PAM) zur Kontrolle besonders sensibler Berechtigungen und Multi-Faktor-Authentifizierung (MFA) – sowohl für menschliche als auch maschinelle Identitäten.

• Trainingsdaten müssten besonders geschützt werden: „Vertrauliche oder persönliche Informationen sollten entfernt oder pseudonymisiert werden. Mit einer einheitlichen Klassifizierung lassen sich Zugriffsrechte besser steuern.“ Verschlüsselung schütze die Daten zusätzlich beim Speichern oder Übertragen vor unbefugtem Zugriff.

Zudem sollten Unternehmen auch die Ein- und Ausgabedaten von GenAI-Systemen kontrollieren. Mithilfe von Echtzeitüberwachung ließen sich kritische oder regelwidrige Inhalte frühzeitig erkennen – zum Beispiel im Hinblick auf Datenschutz oder ethische Vorgaben. Gleichzeitig müssten auch die von der KI erzeugten Inhalte verschlüsselt, kategorisiert und nachvollziehbar dokumentiert werden.

Unternehmen müssen sicherstellen, GenAI kontrolliert und verantwortungsvoll einzusetzen

Müllers Fazit: „GenAI bietet heute enormes Potenzial – aber Unternehmen müssen sicherstellen, dass sie die Technologie kontrolliert und verantwortungsvoll einsetzen!“

• Mit einem ganzheitlichen Sicherheitsansatz, der „Governance“, technische Kontrollen und Datenmanagement zusammenführt, ließen sich Risiken deutlich minimieren.

So schafften Unternehmen die nötige Vertrauensbasis, um ihren Umgang mit GenAI sicher, regelkonform und ethisch zu gestalten.

Weitere Informationen zum Thema:

datensicherheit.de, 03.07.2024
Generative KI gewinnt im Alltag an Bedeutung und definiert Prinzipien der Datensicherheit neu / Joseph Regensburger kommentiert private und berufliche Herausforderungen der KI-Fortentwicklung hinsichtlich der Datensicherheit

datensicherheit.de, 25.04.2024
Generative KI: Jüngste Erkenntnisse von Check Point Research zur Gefahr für die Wahlen 2024 / CPR hat Wahlen welweit beobachtet, um den Einsatz generativer Künstlicher Intelligenz (KI) zu analysieren

[datensicherheit.de, 11.11.2022] Fast 80 Prozent der Unternehmen mit einer abgeschlossenen Cyber-Versicherung haben laut einer Umfrage von Delinea bei ihrem Versicherer bereits Ansprüche geltend gemacht – „mehr als die Hälfte davon mehrfach“. Infolgedessen zögen sich Versicherungsunternehmen vermehrt von der Deckung kritischer Risiken zurück. So seien etwa Schäden durch Ransomware oder Kosten für Datenwiederherstellungen bei rund 50 Prozent der befragten Unternehmen von der Police nicht mehr abgedeckt. Dabei offenbare die Befragung von knapp 300 IT-Entscheidern, dass Cyber-Policen zur Absicherung von IT-Risiken immer beliebter würden: Fast 70 Prozent der befragten Unternehmen gaben demnach an, eine Cyber-Versicherung beantragt zu haben – „wobei der Antrag bei 93 Prozent auch genehmigt wurde, und zwar meist innerhalb von drei Monaten“. Im Auftrag von Delinea habe das unabhängige Marktforschungsunternehmen Censuswide im August und September 2022 mehr als 300 IT-Sicherheitsentscheider in den USA befragte.

93% der IT-Professionals bekommen erforderliches Budget für Abschluss von Cyber-Policen

Ausschlaggebend für die Entscheidung pro Cyber-Versicherung sei für 40 Prozent der IT-Verantwortlichen dabei der Wunsch nach einer allgemeine Risikominderung und 25 Prozent hätten konkret die jüngsten Ransomware-Vorfälle als Hauptgrund genannt.

Ein Drittel der Befragten (33%) habe angegeben, sich auf Geheiß von Geschäftsleitung oder Vorstand um eine Versicherung gekümmert zu haben. Angesichts dieses Drucks von oben sei es auch keine Überraschung, dass 93 Prozent der IT-Professionals das erforderliche Budget für den Abschluss ihrer Cyber-Policen bekommen hätten, obwohl die Prämien seit der letzten Erneuerung in 75 Prozent der Fälle gestiegen seien.

Entscheider sehen in Cyber-Versicherungen Möglichkeit, Kosten im Kontext potenzieller Sicherheitsverletzungen zu senken

„Geschäftsführung und Vorstände sehen in Cyber-Versicherungen eine gute Möglichkeit, um die Kosten im Zusammenhang mit potenziellen Sicherheitsverletzungen zu senken. Das führt dazu, dass sich der Großteil der Unternehmen heute darum reißt, eine Police zu erwerben oder zu erneuern – obwohl die Versicherer ihre Deckung zurückfahren und gleichzeitig die Preise erhöhen“, erläutert Art Gilliland, „CEO“ von Delinea.

Ihr Report offenbare aber auch, dass die Versicherer von den Unternehmen zunehmend verlangten, eine breitere Palette von Sicherheitskontrollen zu implementieren, um die Zahl der Kunden, die Ansprüche geltend machen, zu reduzieren. Gleichzeitig zeige die Tatsache, dass 80 Prozent der Unternehmen dies in der letzten Zeit aber getan hätten, dringend fortschrittlichere Lösungen erforderlich seien.

Gängige Cyber-Sicherheitskontrollen Voraussetzung für Versicherung

Gefragt nach den Voraussetzungen, die ihr Unternehmen erfüllen musste, um eine Cyber-Versicherung abschließen zu können, nannten demnach 51 Prozent der Befragten die Durchführung von Schulungen zum Thema Cyber-Sicherheit und 47 Prozent das Implementieren bzw. Umsetzen von Malware-Schutz, Antiviren-Software, Multi-Faktor-Authentifizierung (MFA) sowie einer Datensicherung. Auf die Frage, wie sie die Anforderungen der Versicherer an das „Privileged Access“-Management (PAM) erfüllen bzw. erfüllt haben, hätten 43 Prozent angegeben, bereits geeignete Lösungen im Einsatz gehabt zu haben, fast ebenso viele (42%) hätten in Sachen PAM jedoch nachrüsten müssen.

„Privileged-Access-Management-Lösungen tragen nicht nur nachhaltig dazu bei, die Bedrohung von Unternehmen etwa durch Risiken wie Ransomware zu begrenzen, sondern reduzieren gleichzeitig den potenziellen Schaden, wenn sie Teil einer Cyber-Versicherung sind“, betont Gilliland. Der vollständige Report „Cyber Insurance – If You Get It, Be Ready to Use It” stehe ab sofort zum Download bereit.

Weitere Informationen zum Thema:

Delinea
Cyber Insurance / If you get it, be ready to use it

[datensicherheit.de, 29.06.2022] „Cloud“-Sicherheit bereitet Cybersecurity-Experten laut einer aktuellen Umfrage von Delinea aktuell die größte Sorge. Hierzu seien im Rahmen der „RSA Conference 2022“ in San Francisco mehr als 100 Sicherheitsfachleute zu ihren derzeit größten Problemen sowie ihren Cyber-Hygienepraktiken interviewt worden. Für 37 Prozent der Befragten sei die Absicherung der „Cloud“ demnach Hauptanlass zur Besorgnis, gefolgt von Ransomware (19%) sowie einer verteilt arbeitenden Belegschaft (17%).

Proaktiverer Ansatz für Cyber-Sicherheit

„Der Schutz digitaler Assets in der Cloud wird zur Priorität Nummer 1 und zeigt einen proaktiveren Ansatz für Cyber-Sicherheit“, kommentiert Joseph Carson, „Chief Security Scientist“ und „Advisory CISO“ bei Delinea.

Da Unternehmen bei Infrastruktur, Anwendungsentwicklung und Geschäftsprozess-Automatisierung immer stärker auf die „Cloud“ angewiesen seien, müssten auch die Sicherheitskompetenzen und -lösungen hierzu Schritt halten. Carson betont: „Umso wichtiger ist es, privilegierte Zugriffe auf ,Cloud‘-Infrastrukturen und -Workloads abzusichern, bevor Angreifer diese kompromittieren.“

80% der befragten Unternehmen in den letzten 12 Monaten ohne Cyber-Angriff

Dabei seien viele Unternehmen bereits auf dem richtigen Weg, wie die Umfrageergebnisse zeigten: „Denn 80 Prozent der Befragten konnten vermelden, dass ihr Unternehmen in den letzten zwölf Monaten keinen Cyber-Angriff erlitten hat.“ Zurückzuführen sei diese positive Entwicklung wahrscheinlich auf eine verstärkte Cyber-Hygiene der Mitarbeiter, insbesondere beim Umgang mit Passwörtern, und die Sorgfalt bei der Authentifizierung.

So hätten 59 Prozent der Befragten angegeben, Passwörter nicht konten-übergreifend einzusetzen, und fast zwei Drittel (66%) setzten mittlerweile auf eine sichere Multifaktor-Authentifizierung (MFA), sofern verfügbar.

Cyber-Versicherungen gewinnen an Bedeutung

„Passwörter sollten niemals die einzige Sicherheitskontrolle für den Zugriff auf kritische Systeme, Anwendungen und Berechtigungen sein. Durch die Implementierung von MFA-Kontrollen wird eine zusätzliche Schutzebene hinzugefügt, die Sicherheit garantiert, falls es einem Angreifer gelingen sollte, ein Passwort zu kompromittieren“, unterstreicht Carson. Dabei sollte MFA nicht nur bei der Systemanmeldung, sondern auch bei der horizontalen und vertikalen Berechtigungserweiterung erforderlich sein.

Gefragt nach ihren Incident-Response-Fähigkeiten und dem Umgang mit Cyber-Vorfällen sei deutlich geworden, dass Cyber-Versicherungen eine immer wichtigere Rolle spielten: 41 Prozent der Befragten gaben demnach an, dass ihr Unternehmen bereits eine spezielle Cyber-Versicherung abgeschlossen habe oder in Erwägung ziehe, sich zu versichern.

Weitere Informationen zum Thema:

Delinea
2022 CyberEdge Cyberthreat Defense Report / 40.7% of companies are victimized by six or more attacks

[datensicherheit.de, 04.05.2022] Die eigene Cyber-Sicherheit steht und fällt mit der Stärke der verwendeten Passwörter – Tipps und Ratschläge für ein sicheres Passwort-Management werden daher seit Jahr und Tag „gepredigt“. Dennoch ist es um die sogenannte Passwort-Hygiene offensichtlich nach wie vor schlecht bestellt, wie unzählige Untersuchungen und Cyber-Vorfälle immer wieder zeigen. Anlässlich des diesjährigen „Welt-Passwort-Tags“ ist es wieder einmal höchste Zeit, dass IT-Sicherheitsexperten das Thema „Passwort-Sicherheit“ in den Vordergrund rücken und Unternehmen wie Privatnutzern „ins Gewissen reden“. Auch Joseph Carson, „Chief Security Scientist & Advisory CISO“ bei Delinea, sieht in seinem aktuellen Kommentar Passwörter als eine der größten Cyber-Herausforderungen:

Foto: Delinea

Joseph Carson: Wahl des Passworts entscheidet darüber, wie leicht Cyber-Kriminelle Daten stehlen und ausspionieren können!

Nutzer neigen immer wieder dazu, ein einfaches und leicht zu merkendes Passwort zu generieren

Carson betont: „Passwörter sind nach wie vor eine der größten Cyber-Herausforderungen auf der ganzen Welt – sowohl für Verbraucher als auch für Unternehmen –, da die Wahl des Passworts darüber entscheidet, wie leicht Cyber-Kriminelle Daten stehlen und ausspionieren können.“

Allen Warnungen zum Trotz neigten Nutzer immer wieder dazu, einfach und leicht zu merkende Passwörter zu generieren. So seien Geburtstage oder andere besondere Daten nach wie vor beliebte Standard-Passwörter, welche Cyber-Kriminellen in die Hände spielten.

Ein sicheres Passwort sollte unbedingt Passphrasen enthalten – mit einer Abfolge von Zufallswörtern

„Dass die Generierung starker und sicherer Passwörter nach wie vor in der Verantwortung der Menschen selbst liegt, bedeutet ein hohes Risiko, vor allem wenn man bedenkt, wie vielen Nutzern ihre schlechte Passwort-Wahl bereits zum Verhängnis geworden ist“, so Carson und warnt: „Haben Angreifer frühere Passwort-Entscheidungen erst einmal durchschaut, nutzen sie diese als Grundlage, um davon ausgehend weitere Variationen zu erstellen.“

Ein effektives Passwort sollte daher unbedingt Passphrasen enthalten und eine Abfolge von Zufallswörtern für zusätzliche Sicherheit. Aktive Nutzer sollten darüber hinaus die Verwendung eines Passwort-Managers in Betracht ziehen, um ihre Anmeldedaten zu optimieren und eine regelmäßige Rotation zu gewährleisten.

Für Unternehmen sollte ein Passwort-Manager eine Standard-Implementierung sein

Für Unternehmen sollte ein Passwort-Manager mittlerweile eine Standard-Implementierung sein, ebenso wie spezielle Kontrollen von privilegierten Zugängen. Diese ermöglichten es den Unternehmen, Passwörter zu automatisieren, zu rotieren und abzusichern, wodurch auch die „Cyber-Müdigkeit“ nachhaltig eingedämmt werden könne.

Um noch einen Schritt weiter zu gehen, sollten Unternehmen nicht nur auf ihre interne „Passwort-Hygiene“ achten, sondern auch ihre Zulieferer und Auftragnehmer unter die Lupe nehmen, um Passwortschutz übergreifend sicherzustellen. Carson unterstreicht hierzu: „Denn welchen katastrophalen ,Dominoeffekt‘ eine falsche Passwortwahl innerhalb einer Lieferkette haben kann, haben bekannte Cyber-Angriffe bereits gezeigt.“

Die Passwort-Sicherheit zu optimieren heißt das soziale Umfeld einzubeziehen

Möchten Unternehmen ihre Passwort-Sicherheit optimieren, müssten sie verstehen, „dass Sicherheit mit dem sozialen Netzwerk um sie herum beginnt“. Carson legt nahe: „Warum also ermutigen Unternehmen ihre Mitarbeiter nicht dazu, auch privat einen Passwort-Manager zu verwenden, und belohnen sie dafür?“

Indem Cyber-Sicherheit auch auf die soziale Sphäre ausgedehnt werde, könnten viele Bedrohungen minimiert werden, denn Angreifer nutzten Privat-User oft als erstes Sprungbrett, um in Unternehmen einzudringen. Carson abschließend: „Warum also nicht die soziale Sphäre um das Unternehmen herum mit einbeziehen? Die Lieferanten, Auftragnehmer, Partner, Kunden genauso wie alle anderen!“

Weitere Informationen zum Thema:

datensicherheit.de, 04.05.2022
Kommentar zum Welt-Passwort-Tag 2022: Passwort und PIN veraltete Authentifizierungsmethoden / Simon Marchand empfiehlt biometrische Verfahren anstelle von Passwort-Eingaben

datensicherheit.de, 03.05.2022
Welt-Passwort-Tag am 5. Mai 2022: Viele Nutzer finden Passwörter lästig und umständlich zu verwalten / Karim Toubba rät, die eigenen Passwort-Gewohnheiten zu hinterfragen

datensicherheit.de, 03.05.2022
Passwörter gehören noch immer zu den wichtigsten Datensicherheitsmaßnahmen / Werner Thalmeier kommentiert Bedeutung der Passwörter und gibt Tipps zum „World Password Day 2022“