IT-Sicherheit in Unternehmen: Ist weniger manchmal mehr?

Für Unternehmen jeglicher Branche wird die Frage nach IT-Sicherheit immer wichtiger – wenn beispielsweise E-Mails mit sensiblen Unternehmensinformationen versendet oder Daten über Kunden auf den internen Systemen abgespeichert werden. Dabei gibt es einige Unternehmen, die in Bezug auf die Cybersicherheit strenge Regeln haben, während andere einen etwas flexibleren Ansatz wählen.

Nun sollte man meinen, es gelte: Je mehr Regeln, desto besser bzw. sicherer. Doch wir haben den diesjährigen Europäischen Monat der Cyber-Sicherheit einmal als Anlass genommen, um zu hinterfragen, ob viel tatsächlich viel hilft oder ob Unternehmen nicht besser daran täten, ihre Sicherheitsregelungen etwas simpler zu gestalten. Denn je leichter es für Mitarbeiter ist, die Regeln zu befolgen, desto höher auch die Wahrscheinlichkeit, dass sie es tun.

Ein gutes Beispiel zur Verdeutlichung sind Passwörter. In den vergangenen Jahren hat sich deren Nutzung etwas verändert – so haben sie sowohl an Länge als auch an Komplexität stark zugenommen. Und noch viel entscheidender: Es gibt immer mehr Accounts, Dienste und Geräte, deren Zugang mit einem Passwort abgesichert wird.

Von Mitarbeitern wird verlangt, dass sie sich mehr als ein Dutzend solcher Sicherheitscodes merken – sowohl für berufliche als auch private Zwecke. Und die Tatsache, dass ein gutes Passwort aus mindestens zehn Zeichen mit Groß- und Kleinbuchstaben, Zahlen sowie Sonderzeichen besteht, macht es für Nutzer nicht gerade leicht, sie zu behalten.

Deshalb tendieren User sowohl im privaten wie auch im Arbeitsumfeld dazu, entweder ein einziges starkes Passwort zu nutzen, das sie für all die verschiedenen Zugänge verwenden oder sie erstellen unterschiedliche, die leicht zu behalten, dadurch aber nicht besonders sicher sind. Vor allem innerhalb eines Unternehmens stellen derartige Strategien ein erhöhtes Risiko dar und können unter Umständen zu ernsten Sicherheitsvorfällen führen.

Was also tun?

Es gibt verschiedene Wege, wie man auf dieses Problem reagieren kann. So schlägt die National Technical Authority for Information Assurance in Großbritannien vor, dass Unternehmen den Umgang mit Passwörtern vereinfachen, indem beispielsweise die Anzahl der Passwörter verringert wird.

Zudem genügen für die Absicherung von Zugängen zu Anwendungen, Diensten oder Geräten, die für das Geschäft nicht essenziell sind, einfachere Passwörter und weniger aufwendige Schutzmaßnahmen. Eine andere Möglichkeit, der Überflutung mit Passwörtern zu begegnen, besteht in dem Einsatz eines Passwort-Managers, der im besten Fall auf den Geräten der Mitarbeiter bereits vorinstalliert ist.

Auch in Bezug auf die Regelmäßigkeit der erforderlichen Änderung von Passwörtern können Unternehmen Erleichterung für ihre Mitarbeiter schaffen. Wenn man Nutzer dazu drängt, Zugangsdaten allzu oft zu ändern, besteht die Gefahr, dass sie einfach nur um kleine Zusätze ergänzt oder – noch schlimmer – irgendwo in der Nähe des Rechners notiert werden. Beides ist nicht im Sinne der Sicherheit.

Das richtige Zeitintervall bis zur nächsten Passwortänderung festzulegen, ist nicht ganz leicht. Zwar ist es für Mitarbeiter hilfreich, wenn sie ihre Zugangsdaten möglichst lang beibehalten können, Unternehmen müssen allerdings bedenken, dass die Wahrscheinlichkeit, dass ein Passwort geknackt wird, steigt, je länger es verwendet wird.

Unternehmen können ihre Mitarbeiter bei der Auswahl sicherer Passwörter generell unterstützen, indem sie eine Art Messinstrument zur Überprüfung der Sicherheit von ausgewählten Codes bereitstellen und eine Liste mit unsicheren Passwörtern aufsetzen, die nicht verwendet werden dürfen.

Doch unabhängig von der Stärke der im Unternehmen verwendeten Passwörter besteht immer noch die Gefahr eines Brute-Force-Angriffs (automatisiertes Erraten von einer Vielzahl an Passwörtern). Aber auch diesem Risiko kann man entgehen. Dafür empfiehlt sich, eine Obergrenze für erfolglose Anmeldeversuche festzulegen oder aber die Wartezeit, bis man nach Eingabe eines ungültigen Passworts einen erneuten Versuch starten kann, exponentiell zu verlängern. Diese Sicherheitsmaßnahmen sind sehr effektiv, stellen für Ihre Mitarbeiter aber keinen zusätzlichen Aufwand dar.

Die Nutzung privater Geräte verbieten?

Nicht nur unsichere Passwörter stellen ein Sicherheitsrisiko für Unternehmen dar – auch die Nutzung privater Geräte für berufliche Zwecke kann mit Gefahren einhergehen. Sollten Sie jetzt darüber nachdenken, dies zu verbieten, raten wir Ihnen jedoch, sich die Sache noch einmal durch den Kopf gehen zu lassen. Denn wie diverse Studien zeigen, setzen sich viele Mitarbeiter über derartige Verbote hinweg.

Eine bessere Lösung besteht darin, Ihren Mitarbeitern beispielsweise zu raten, Smartphones und Tablets immer mit einem Kennwort, einer PIN oder zumindest einem Entsperrmuster zu schützen und das Gerät nach Gebrauch umgehend zu sperren.

Auch der Einsatz von Verschlüsselungstechniken für alle Daten ist eine gute Idee. Weisen Sie die Mitarbeiter, die private Laptops, Smartphones oder Tablets nutzen, an, entweder eine vorinstallierte Lösung zu verwenden oder empfehlen Sie eine Software Ihrer Wahl.

Immer mehr Firmen bieten Ihren Mitarbeitern die Möglichkeit, von Zuhause aus oder unterwegs zu arbeiten. Wenn dies auch in Ihrem Unternehmen der Fall ist, sollten Sie darüber nachdenken, für die Absicherung des Zugangs zum Firmennetz eine Zwei-Faktor-Authentifizierungstechnik einzusetzen. Die hierbei generierten Einmal-Passwörter schützen sensible Daten und Zugänge vor unautorisierten Zugriffen. Eine solche Sicherheitslösung sollte am besten auf dem Mobiltelefon des Mitarbeiters installiert werden, weil hierdurch die Nutzung erheblich vereinfacht wird.

Autor , ESET