50 Prozent der Security-Verantwortlichen haben den „Faktor Mensch“ im Blick
Der User als Türöffner: Bei 74 Prozent der Datenschutzverletzungen spielt die Person vor dem Rechner eine essenzielle Rolle. Entsprechend wichtig ist es, zum einen Security-Mechanismen und -Kontrollen zu etablieren, die den Anwender und dessen Verhaltensweisen in den Mittelpunkt stellen. Zum anderen kommt es entscheidend darauf an, verantwortungsvolle Cybersicherheitspraktiken auf Seiten der Mitarbeitenden zu fördern und deren Befolgung zu erleichtern.
Gartner prognostiziert, dass 50 Prozent der Chief Information Security Officers (CISO) bis 2027 anwenderzentrierte Verfahren in ihre Cybersicherheitsprogramme aufnehmen werden. Dabei geht es vor allem darum, betriebliche Reibungsverluste zu minimieren und für bestmögliche Sensibilisierung unter der Belegschaft zu sorgen. Die Untersuchungen der Analysten zeigen zudem, dass mehr als 90 Prozent der Mitarbeitenden sich des erhöhten Risikos, das von einzelnen unsicheren Handlungen für ihr eigenes Unternehmen ausgeht, durchaus bewusst sind – was sie allerdings nicht von deren Ausführung abhält. Die Entwicklung von Sicherheitskontrollen, die sich auf Anwender konzentrieren und nicht länger nur auf einzelnen Technologien oder der Abwehr spezifischer Bedrohungen fußen, trägt dieser besonderen Verantwortung, die Mitarbeitern im Hinblick auf Cybersicherheit zukommt, maßgeblich Rechnung und unterstützt dabei, die Wahrscheinlichkeit eines riskanten Verhaltens nachhaltig zu verringern.
Wie man eine identitätsbasierte Sicherheitsstrategie entwickelt, bei der der Anwender im Fokus steht
Durch die Implementierung identitätsbasierter Sicherheitsmaßnahmen verbessern Unternehmen proaktiv ihre Sicherheitslage. Ziel ist es, defensive Praktiken einzuführen, die dazu beitragen, Gefahren zu bewältigen, die sich aus unvorhersehbarem menschlichem Verhalten ergeben. Damit dies funktioniert, müssen jedoch die Aktionen der Benutzer berücksichtigt werden. Der effektivste Ansatz in dieser Hinsicht ist eine Methodik, die sich auf Benutzeridentität sowie Zugangskontrollen konzentriert und auf einem auf den Menschen ausgerichteten Design basiert. Um als Unternehmen die folgenden empfohlenen Schritte umsetzen zu können, kann es durchaus ratsam sein, einen Managed Service Provider (MSP) zu involvieren:
Entwicklung von einfach zu bedienenden Sicherheitskontrollen:
Laut Gartner werden 75 Prozent der Mitarbeitenden bis 2027 wieder stärker Eigenverantwortung im Hinblick auf Fachanwendungen und Technologien übernehmen, die dadurch aus dem Fokus der IT-Verantwortlichen geraten. Folglich kann auch darauf geschlossen werden, dass Mitarbeiter – wenn etablierte Prozesse zu kompliziert sind – einen Weg finden werden, sie zu umgehen. Vor diesem Hintergrund müssen die bestehenden Kontrollen bewertet werden. Denn nur dann entwickelt sich ein Verständnis für die Sicht des Benutzers. Gut funktionierende Methoden können entsprechend optimiert – oder nicht funktionierende eliminiert – werden. Diese Vorgehensweise reduziert potenzielle Fehler auf Dauer erheblich.
Verbesserter Umgang mit Passwörtern:
Passwörter sind ein wichtiges Puzzleteil im Hinblick auf identitätsbasierte Sicherheit. Sich diese zu merken und sie zu verwalten kann jedoch herausfordernd sein. Passwort-Manager können dabei helfen, sichere, schwer zu erratende Passwörter mit einem organisierten System zu erstellen. Dies verringert nicht nur die Gefahr von Brute-Force- sowie Phishing-Angriffen und gibt Unternehmen eine bessere Kontrolle über die Passwortstärke. Darüber hinaus reduziert ein solches Instrument die Notwendigkeit, Passwörter zurückzusetzen und vermindert Probleme im Zusammenhang mit gemeinsam genutzten oder gestohlenen Passwörtern. Die Möglichkeit, verschiedene Passwörter für alle digitalen Konten zu erstellen, ohne sich diese alle merken zu müssen, erleichtert den Benutzerzugang, ohne die Sicherheit zu beeinträchtigen.
Etablierung einer zuverlässigen Authentifizierungsmethode:
Authentifizierungsmethoden müssen durch eine Multifaktor-Authentifizierungslösung (MFA) gestärkt werden, die Single Sign-On (SSO) und risikobasierte Authentifizierung integriert. Dies verbessert die Nutzererfahrung: Eine zusätzliche Authentifizierung ist überflüssig, sobald die Sicherheit eines Nutzer gemäß der in den Regeln festgelegten Parameter einmal verifiziert wurde.
Invest in die Ausbildung der Teammitglieder:
Neben regelmäßigen Schulungen zum Sicherheitsbewusstsein müssen Unternehmen ein überzeugendes Konzept entwickeln, das die Mitarbeiter anspricht und ihre Entscheidungen beeinflusst. Ein MSP kann bei der Entwicklung und Durchführung effektiver Trainings unterstützen und dazu beitragen, die Wahrscheinlichkeit eines durch menschliches Versagen ausgelösten Cyberangriffs zu verringern.
Identitätsbasierte Sicherheit ist ein mehrschichtiger Ansatz, der eine kontinuierliche Überwachung, Aktualisierung und Verbesserung erfordert. Um effektiv zu sein, müssen Unternehmen leistungsstarke Lösungen implementieren, die sowohl schützen als auch Stolpersteine beim Einsatz auf Nutzerseite aus dem Weg räumen.
Weitere Information zum sicheren Umgang mit digitalen Identitäten liefern folgende Blogbeiträge: