Zusammenarbeit und geteilte Passwörter: Die verkannte Gefahr
IT-Sicherheit ist ein entscheidender Teil der digitalen Transformation. Wenn aber Kollegen der Einfachheit halber die gleichen Passwörter benutzen oder es gänzlich an einer Security-Strategie fehlt, wird der Wandel nicht nur verzögert, sondern auch gefährlich.
Durchschnittlich sechs Passwörter teilt sich ein Mitarbeiter mit seinen Kollegen. Wer im Team arbeitet kennt das, doch je mehr sich Collaboration etabliert, je verteilter die Teams arbeiten und je mehr sie von digitalen Technologien abhängen desto wichtiger ist es, sichere Passwörter zu nutzen, sie zu schützen und in ein sicheres Passwort-Management einzubetten.
So etwas Einfaches wie das Passwort bringt die IT-Abteilung plötzlich ins Schwitzen.
Zu wenige Unternehmen seien sich der Gefahr bewusst, welche Auswirkungen eine lapidare Passwortnutzung haben kann. Und zu viele Sicherheitsverantwortliche würden die Bedeutung dieser ersten Authentifizierungsbarriere verkennen, so dass so etwas Einfaches wie das Passwort sie in Schwierigkeiten bringt, sagt Frank Dickson, Research Vice President, Security Products at IDC. Er bezieht sich auf eine neue Studie, die das Security-Unternehmen LastPass by LogMeIn jetzt veröffentlicht hat.
Nach dem „2018 Global Password Security Report“ sind es vor allem die größeren Firmen, die mit dem Passwort-Management hadern. Denn je mehr Mitarbeiter ein Unternehmen hat, desto mehr Passwörter müssen verwaltet werden, desto mehr Apps klemmen sich an der IT-Abteilung vorbei ins Firmennetz und desto mehr Kollegen müssen auf ihr Passwortverhalten aufmerksam gemacht werden. Der Aufwand ist enorm und könnte mit einer klaren Sicherheitsstrategie, eingebettet in das Digitalkonzept, abgefedert werden.
Unternehmen, die das Thema Sicherheit nicht ausreichend auf der Agenda haben, nehmen damit auch in Kauf, dass die Digitalisierung nicht angenommen oder verzögert wird. Wenn die ersten Daten verschwunden sind oder das System von Eindringlingen überwunden wird, bleibt von der Motiviation, Prozesse zu digitalisieren nicht mehr viel übrig. Darüber hinaus ergab eine Umfrage der Bundesdruckerei schon 2016, dass jedes fünfte Unternehmen (21 Prozent) Umsatzverluste befürchtet, da es die Digitalisierung aus Angst vor IT-Sicherheitsvorfällen nicht schnell genug vorantreibt.
Problembewusstsein bei Mitarbeitern schaffen
Bleibt man beim Thema Passwort, so stellen die Experten längst fest: Passwörter alleine schließen die Sicherheitslücken nicht. Favorisiert wird daher derzeit die Multifaktor-Authentifizierung (MFA). Dabei handelt es sich um ein Security-System, das zusätzlich zum Passwort weitere Authentifizierungsmerkmale einfordert. Das können ein biometrisches Merkmal wie die Iris oder der Fingerabdruck sein oder Tokens und Apps mit immer neu generierten Zahlenkombinationen. Ziel ist es, eine mehrstufige Sicherheitshürde zu schaffen, die das Eindringen in die Systeme deutlich erschwert.
Gerade kritische Branchen wie Banken, Gesundheit und öffentliche Stellen hinken hinterher.
Auch die Studie offenbart, dass Unternehmen zunehmend auf dieses System setzen. 45 Prozent der befragten Unternehmen setzen MFA ein, fast ein Viertel mehr als in der Erhebung 2017. Am besten vorbereitet ist noch die Technologieindustrie, heißt es in dem Bericht. Doch gerade kritische Branchen wie das Bankenwesen, der Gesundheitsbereich, Versicherungen sowie öffentliche Stellen hätten noch viel Nachholbedarf.
Was also kann man tun, um vor allem bei Mitarbeitern die „Awareness“ zu schaffen, damit mit IT-Sicherheit und hier angefangen bei der Vergabe von Passwörtern bewusster umgegangen wird?
Mitarbeiter aufmerksam machen. Im Intranet lassen sich beispielsweise kurze Videos oder Dokumente platzieren, in denen die Gefahr beschrieben wird und welche Möglichkeiten es für einen besseren Schutz gibt. Auch mit spielerischen Inhalten lassen sich komplexe Probleme leicht verdaulich und eingängig erklären. Ziel sollte sein, das Bewusstsein zu schaffen, dass ohne Sicherheitsstrategie schlechtestenfalls die Existenz des Unternehmens auf dem Spiel steht (oder der eigene Arbeitsplatz).
Einen Passwort-Beauftragten in jeder Abteilung benennen. Es kann Sinn machen, in jedem Ressort eine vertrauenswürdige Person einzusetzen, die in Kenntnis sensitiver Inhalte eine Passwortstrategie für einzelne Teams erarbeitet und sie anschließend mit der IT-Abteilung umsetzt.
Meetings mit der IT-Abteilung. Oftmals wissen Mitarbeiter nicht, wie sie es besser machen können. Meet-Ups mit den Experten aus der IT-Abteilung können noch eher vielleicht als Whitepaper Klarheit und Ideen bringen, damit aus dem Collaboration-Traum nicht ein Albtraum wird.