Unternehmen halten eisern an der Verwendung von Passwörtern fest, obwohl unter IT-Security-Experten die Meinung vorherrscht, dass diese nicht funktionieren. Fast ein Drittel (29 Prozent) der Organisationen in Europa sehen Benutzernamen und Passwörter trotz inhärenter Schwächen als eines der effektivsten Zugangsverwaltungsinstrumente an. Dies zeigt eine aktuelle Untersuchung des IT-Security-Experten Thales.

Und damit nicht genug: Gemäss dem «Thales Access Management Index 2020 - Europe and Middle East Edition» planen viele Firmen die Zugangsmethode auszuweiten. Tatsächlich geben 67 Prozent der Befragten an, dass ihre Organisationen planen, die Verwendung von Benutzernamen und Passwörtern in Zukunft auszuweiten. Diese anhaltende Abhängigkeit von veralteter Sicherheit besteht, obwohl die IT-Leiter enthüllten, dass es im Vergleich zum letzten Jahr (29 Prozent) immer einfacher wird (48 Prozent), ihren Vorständen den Bedarf an Sicherheit zu verdeutlichen.

Bei einer Befragung von 400 IT-Entscheidungsträgern ergab die neue Untersuchung von Thales darüber hinaus, dass die Mehrheit (57 Prozent) der IT-Fachleute ungeschützte Infrastrukturen als eines der grössten Ziele für Cyber-Angriffe ansehen. Jede Organisation, die eine solche Infrastruktur nutzte, sei einem höheren Risiko ausgesetzt, heisst es. Gründe dafür seien der geschäftliche Druck, der Unternehmen zur Einführung digitaler Transformationstechnologien veranlasst.

Im Rahmen der globalen Covid-19-Pandemie, die viele Unternehmen dazu veranlasst, ihre Mitarbeiter ins Home Office zu schicken, versuchen IT-Abteilungen den Heimarbeitern sowohl Sicherheit als auch Komfort anzubieten. Fast drei Viertel (67 Prozent) der europäischen IT-Führungskräfte geben an, dass sich ihre Sicherheitsteams angesichts dieser Aufgabe unter Druck gesetzt fühlen. Sie müssen den Benutzern einen bequemen Zugang zu Anwendungen und Cloud-Diensten ermöglichen.

Dennoch muss die Sicherheit gewährleistet bleiben – ein Hinweis darauf, dass sie Schwierigkeiten haben, ihre digitale Transformation und ihre Sicherheitsprioritäten in Einklang zu bringen. Zu diesem Zweck sind 96 Prozent der Meinung, dass starke Authentifizierungs- und Zugriffsmanagementlösungen die sichere Einführung der Cloud erleichtern können.

Mehr als drei Viertel (76 Prozent) gaben zusätzlich an, dass die Mitarbeiterauthentifizierung in der Lage sein muss, den sicheren Zugang zu einer breiten Palette von Diensten, einschliesslich virtueller privater Netzwerke und Cloud-Anwendungen, zu unterstützen.

Einige Unternehmen verlassen sich noch immer auf alte Authentifizierungsmethoden wie Benutzernamen und Passwörter. Dennoch veranlassen sie durch das wachsende Bewusstsein für Bedrohungen die Einführung von weiteren Sicherheitsmassnahmen. Fast alle (94 Prozent) befragte Organisationen haben ihre Sicherheitsrichtlinien in Bezug auf die Zugangsverwaltung in den letzten 12 Monaten geändert.

Mitarbeiterschulungen zum Sicherheits- und Zugriffsmanagement (47 Prozent), steigende Ausgaben für das Zugriffsmanagement (43 Prozent) und die Entwicklung dessen zu einer Priorität für den Vorstand (37 Prozent) haben alle einen verstärkten Fokus erfahren.

Dies dürfte sich auch in Bezug auf die Einhaltung der Vorschriften auszahlen. Fast alle (98 Prozent) europäischen Befragten haben zugegeben, dass sie kontrollieren, wer Zugang zu den Daten ihres Unternehmens hat. Dies wird ihnen dabei helfen, die Vorgaben von Datenregularien wie der DSGVO zu erfüllen.

«Immer mehr Unternehmen gehen dazu über, Cloud-basierte Dienste für CRM, E-Mail, Mitarbeiter-Kollaboration und IT-Infrastruktur als Teil ihrer digitalen Transformationsstrategien einzuführen», stellt Francois Lasnier, Vizepräsident für Zugangsmanagement-Lösungen bei Thales fest. Alte Lösungen, die zum Schutz interner Ressourcen entwickelt wurden, nun auf die Aussenwelt auszudehnen, sei sehr problematisch, fügt er in diesem Zusammengang an. «Trotz der neuen Arbeitsgewohnheiten, die nun allmählich zum Standard werden, neigen Unternehmen oft dazu, verzweifelt zu alten passwortbasierten Anmeldungen für Cloud-Dienste zurückzukehren. Dadurch erhöhen sie wissentlich ihre Sicherheitsrisiken gegenüber unbefugten Anmeldungen aufgrund von Datendiebstahl und Phishing-Angriffen», doppelt Lasnier nach

Mit Blick in die Zukunft werden einige IT-Führungskräfte ihren Einfluss auf die Vorstandsebene möglicherweise klüger nutzen. Dabei werden die Investitionen in den Einsatz sichererer Methoden wie biometrische Authentifizierung (76 Prozent) und intelligente SSO (81 Prozent) im nächsten Jahr steigen. Zwei Drittel (67 Prozent) planen weiterhin die Verwendung von Benutzernamen und Passwörtern auszuweiten, was einer ähnlichen Grössenordnung entspricht wie die Absicht, weiterhin kennwortlose Authentifizierungsmethoden zu verwenden (70 Prozent).

«Lange Zeit war die grösste Schlacht, der sich IT-Führungskräfte gegenübersahen, die Sensibilisierung der Vorstände, die Bedrohung der Sicherheit ernst zu nehmen», so Lasnier weiter. «Jetzt, wo sie die Aufmerksamkeit der Führungsebene haben, sollte der Schwerpunkt darauf liegen, die Bedeutung des Zugriffsmanagements bei der Umsetzung einer Zero-Trust-Sicherheitspolitik für ihre Geschäftsleitung hervorzuheben. Damit können Risikomanagement-Fachleute einen ‚Protect Everywhere - Trust Nobody'-Ansatz einführen, wenn sie in der Cloud expandieren.»