Security vs. Usability
Warum IT-Sicherheit kein Spagat sein muss
IT-Sicherheit steht mittlerweile – endlich – bei vielen Unternehmen ganz oben auf der Agenda. Leider führt das bei vielen Unternehmen zu einer Diskrepanz zwischen Security und Usability.
Man kann heutzutage eigentlich nicht vorsichtig genug sein. Doch besonders sicherheitsbewusste Unternehmen reagieren auf die aktuelle Bedrohungslage mit einem kontraproduktiven Security-Overkill, der zu einer täglichen Kollision zwischen IT-Sicherheit und Produktivität führen kann – und darum von den Angestellten oft nach allen Regeln der Kunst unterlaufen wird und sich so selbst wieder ad absurdum führt. Dann werden nämlich Passwörter geteilt oder Dokumente gescannt, auf mobile Speichergeräte gezogen und an die private E-Mail-Adresse geschickt und so die perfekte Grundlage für unbefugten Datenzugriff von innen wie von außen geschaffen.
Die richtigen Fragen stellen
Wie aber bekommt man den Spagat zwischen Security und Usability hin? Wie gewährleistet man für die Mitarbeiter einen reibungslosen Workflow, ohne die Datensicherheit des Gesamtunternehmens zu kompromittieren? Ein guter erster Schritt ist immer die Analyse des Verhaltens und der Bedürfnisse der User. Basierend auf diesen Erkenntnissen sollte die Security dann bedarfsgerecht darauf abgestimmt werden. Und bedarfsgerecht kann tatsächlich heißen, dass für verschiedene User-Gruppen unterschiedliche Lösungen gefunden werden müssen.
In der Praxis bewährt hat es sich zum Beispiel, Daten nach ihrer Wichtigkeit zu klassifizieren. Nicht alle Daten sind sensibel – andere dafür umso mehr. Und diese sollten dann auch gesichert werden wie ein digitales Fort Knox. Für Datensätze, die für die tägliche Arbeit gebraucht werden und die nicht strengstens vertraulich sind, kann man die Hürden beim Zugang durchaus ein wenig niedriger legen, um so zu vermeiden, dass Mitarbeiter ihre eigenen Prozesse basteln und dann damit auch die Sicherheit sehr sensibler Daten gefährden. Unbedingt notwendig: ein effizientes Access Management – wer darf was sehen, weitergeben, bearbeiten? Gerade in diesem Bereich lässt sich vieles automatisieren, zum Beispiel, welche Dokumente nur sicher (oder überhaupt nicht) gescannt werden dürfen. Dazu muss man zwar die gesamte IT-Infrastruktur gründlich durchleuchten und sie im Zweifel auch einmal komplett auf den Kopf stellen, aber am Ende steht ein deutlicher Zugewinn von Zeit, Komfort und Sicherheit.
Das größte Problem allerdings ist etwas, das überraschend simpel und eigentlich auch leicht in den Griff zu bekommen ist: Passwörter. Tatsächlich sind schwache Passwörter weiterhin das Sicherheitsrisiko Nummer 1, wenn es um Datensicherheit geht, denn sie öffnen Cyberkriminellen digitale Türen und Tore. Gerade E-Mail-Accounts sind einer der angreifbarsten Punkte eines Unternehmens. Fast fünf Millionen Daten werden täglich kompromittiert, und 2017 hatten 81 Prozent dieser Zwischenfälle mit gestohlenen oder nicht ausreichend sicheren Passwörtern zu tun. Erschreckende Zahlen – und trotzdem ist das Passwortverhalten vieler User weiterhin leichtsinnig. Bei der im Frühjahr 2018 durchgeführten Studie „Psychologie der Passwörter“ räumten 91 Prozent der Befragten ein, dass ihnen bewusst ist, dass die Verwendung desselben Passworts für mehrere Konten ein Sicherheitsrisiko darstellt. Das hält jedoch insgesamt 59 Prozent weiterhin nicht davon ab, ihre Passwörter – auch schwache Passwörter wie das beliebte "Hallo123" – weiterhin mehrfach einzusetzen.
Einer der Hauptgründe dafür ist die Angst, komplexe Passwörter zu vergessen. Sichere, aber komplizierte Passwörter wiederum müssen sich viele Menschen notieren. Das machen sie dann oft genug in einem Word-Dokument, das in den meisten Fällen nur unzureichend geschützt ist. Und damit gewinnt bei der Frage Security vs. Usability in Sachen Passwort so gut wie immer die Bequemlichkeit – zumindest dann, wenn die Nutzer die Wahl haben. Unternehmen aber können es sich nicht leisten, die Sicherheit ihrer Daten dem schwächsten Glied in der Kette zu überlassen, denn Cyberkriminelle brauchen nur ein kleines Einstiegsloch, um daraus ein riesiges Datenleck zu machen. Oft genug werden Nutzer darüber hinaus durch ausgefeilte Social-Engineering-Techniken wie beispielsweise fingierte Telefonanrufe und immer echter aussehende Phishing-Mails dazu gebracht, sensible Daten preiszugeben. Aber auch persönliche Facebook-Accounts können jede Menge Informationen wie Arbeitgeber oder Position enthalten, die als Ausgangsbasis für Social Engineering dienen können. Das Risiko erhöht sich ebenso durch die weiterhin steigende Nutzung mobiler, vernetzter Geräte und Apps, die die Grenzen zwischen privat und beruflich immer mehr verschwimmen lassen. Dazu kommt eine zunehmend flexible Arbeitsumgebung, die nicht notwendigerweise aus einem Arbeitsplatz in einem Bürogebäude und einer soliden Firewall besteht, sondern oft genug ein Platz in einem Café mit öffentlichem WLAN ist. Zusätzlich etabliert sich im Privatanwenderbereich immer mehr das Thema „Wearable Computing“, beispielsweise smarte Armbanduhren – all das summiert sich zu einem kontinuierlich wachsenden Sicherheitsrisiko für Unternehmen. Was aber kann man dagegen tun?
- Vorgaben für Passwörter machen: In Unternehmen, die keine Vorgaben für starke Passwörter machen, wählen Nutzer Komfort statt Sicherheit. Notwendig sind daher klare Regeln zu Länge und Aufbau des Passworts und Wechselintervallen sowie ein System, das die Einhaltung dieser Vorgaben überprüft. Entscheidender als die Komplexität des Passworts ist dabei die Länge. Auch moderne Rechner können Jahre brauchen, um ein Kennwort mit 20 oder mehr Zeichen zu knacken – vorausgesetzt, es enthält keine beliebten Phrasen. Schon ab zwölf Zeichen erhöht sich die Sicherheit erheblich. Zusätzlich kann festgelegt werden, dass ein neues Passwort dem alten nicht zu ähnlich ist oder dass weder der Name des Mitarbeiters noch des Unternehmens vorkommen darf. Sinnvoll ist es in diesem Zusammenhang, gleich die gesamte Riege unsicherer, aber beliebter Passwörter zu blocken. Ein Enterprise-Passwortmanager erlaubt es Unternehmen in diesem Zusammenhang, Anforderungen an Passwörter durchzusetzen und zu überwachen. Gleichzeitig soll er den Nutzern einen deutlichen Komfort bieten, denn sie müssen sich nur noch ein Master-Passwort merken – und somit keine Angst mehr haben, gegebenenfalls andere Passwörter zu vergessen.
- Sicherheitsrichtlinien für alle Bereiche festlegen: Jedes Unternehmen sollte weitreichende Sicherheitsrichtlinien festlegen, die alle Prozesse von der Passworterstellung bis hin zu Access Management umfassen. Nicht vergessen: klar definierte Vorgaben zum Thema „Bring your own device“ (BYOD). Viele Unternehmen haben heutzutage schon ein Mischnetzwerk aus eigenen und BYOD-Geräten. Während eine solche Lösung viele Vorteile mit sich bringt, macht sie das Netzwerk besonders angreifbar. Aus diesem Grund müssen klare Regeln definiert werden: Darf öffentliches WLAN genutzt werden? Welche Apps sind freigegeben? Das sorgt für Sicherheit sowohl beim Unternehmen als auch bei den Angestellten.
- Zweifaktor- bzw. Multifaktor-Authentifizierung einführen: Zwei- beziehungsweise Multifaktor-Authentifizierung (2FA/MFA) ist eine überaus effektive Methode, sensible Daten zu schützen. Durch die Eingabe einer weiteren Information vor dem Einloggen – sei es ein Code, ein temporäres Passwort oder ein Fingerabdruck – entsteht ein doppeltes Sicherheitsnetz. Gerade die Kombination von MFA und langen, einmaligen Passwörtern erhöht die Gesamtsicherheit eines Unternehmens erheblich.
Für Unternehmen ist es vor allem wichtig, Mitarbeitern das Bewusstsein dafür zu vermitteln, wo potenzielle Gefahren lauern – und diese dann so weit wie möglich zu minimieren. Die sicherste Option sind dabei IAM-Lösungen oder Passwortmanager. Sie nehmen den Mitarbeitern die Verantwortung für die IT-Sicherheit ab und geben sie zurück an das Unternehmen. Denn genau da gehört sie auch hin.
Gerald Beuchelt ist CISO bei LogMeIn
Lesen Sie mehr zum Thema
