Geldinstitute > Security

Passwortsicherheit – die richtige Strategie

Obwohl sich die Bedrohungslandschaft schnell weiterentwickelt und die Techniken der Angreifer immer ausgefeilter werden, spielen Passwörter nach wie vor eine wichtige Rolle bei Verstößen: 81% der Datenschutzverletzungen betreffen schwache, wiederverwendbare oder gestohlene Zugangsdaten.

Autor: Gerald Beuchelt, CISO, LogMeIn

Eine aktuelle Studie von LastPass, das Unternehmen zu Passwortpraktiken und der Einführung von Multi-Faktor-Authentifizierung bewertet hat, ergab, dass gerade die Finanzbranche bei der Passwortsicherheit unterdurchschnittlich abschneidet.  Welche Schritte können Banken und Finanzinstitute unternehmen, um sich besser zu verteidigen, wenn Gefahr durch laxe Sicherheitspraktiken im Unternehmen droht?

Aktuelle Technologie bewerten 

Angreifer nutzen Schwachstellen innerhalb der Sicherheitsarchitektur eines Unternehmens. Motiviert durch die Aussicht auf lohnenswerte Beute bei Finanzinstituten oder FinTech-Unternehmen, passen Cyberkriminelle ihre Angriffstechniken ständig an und entwickeln sie weiter. Zu glauben, ihre technologischen Abwehrmaßnahmen seien immer noch wirksam, kann sich die Finanzindustrie nicht mehr leisten: Unternehmen müssen kontinuierlich in Technologien investieren, um immer neue Bedrohungen abzuwehren. Was im vergangenen Jahr oder selbst im letzten Monat noch schützte, ist heute schon nicht mehr ausreichend.

Finanzinstitute gehören zur Kritischen Infrastruktur und müssen daher ihre Systeme regelmäßig einer Risikobewertung unterziehen. Gleichermaßen müssen sie die Bewertung ihrer Sekundärsysteme sicherstellen, die unkritische Vermögenswerte enthalten. Private Aktivitäten und Konten der Mitarbeiter, wie beispielsweise persönliche E-Mails oder Facebook Accounts, sind immer noch potenzielle Einfalltore zu einem internen Netzwerk. Deshalb sollten starke Authentifizierungsrichtlinien ein Schwerpunkt der durchzuführenden Bewertungen sein.

Weiterhin sollten Unternehmen dedizierte Rollen und Berechtigungen beim Zugriff auf Datenbanken in Betracht ziehen, um sicherzustellen, dass die Mitarbeiter nur Zugang zu jenen Informationen haben, die sie tatsächlich für ihre Arbeit benötigen. Die Implementierung einer privilegierten Zugangsverwaltungstechnologie trägt dazu bei, das Risiko zu minimieren, dass Daten in falsche Hände gelangen.

Einführung effektiver Authentifizierung und Sicherheitsrichtlinien

Es gibt keine Anzeichen dafür, das Bedrohungen wieder abnehmen. Folglich fehlt es nicht an neuen Technologien für den Finanzsektor, darunter KI, maschinelles Lernen und Biometrie. Aber selbst Organisationen mit der neuesten bahnbrechenden Technologie können durch etwas so Einfaches wie ein schwaches Passwort gefährdet werden. Die richtige Auswahl der Grundlagen durch Authentifizierungs- und Passwortrichtlinien ist daher entscheidend für den Schutz von Unternehmensdaten. Sie sind Grundvoraussetzung für die Sicherheitshygiene.

Die Passwortverwaltung sollte also oberste Priorität haben. Das umfasst auch die Schulung aller Mitarbeiter zu sicheren Passwortverfahren, die Erstellung eines sicheren Passwortes und die Verwendung eindeutiger Anmeldeinformationen für alle Konten. Da es praktisch unmöglich ist, sich komplexe Passwörter für mehrere Konten zu merken, sollten Unternehmen Lösungen in Betracht ziehen, die ihre Mitarbeiter entlasten. Ein Passwortmanagement-Tool erledigt effizient und sicher die Erstellung, Absicherung und Verwaltung der Passwortdaten – auch für IT-Administratoren.

Die Multi-Faktor-Authentifizierung (MFA) ist eine der effektivsten Möglichkeiten, um passwortgeschützten Konten eine weitere Sicherheitsebene hinzuzufügen. Bei einem Hack muss nun der zusätzliche Faktor, ein einmaliger Code, der etwa durch einen Hardware-Token oder einen Fingerabdruck erzeugt wird, bereitgestellt werden, selbst wenn der Hacker das Passwort kennt. Der jüngste Timehop Breach, von dem fast der gesamte Kundenstamm von 21 Millionen Nutzern betroffen war, erfolgte, weil das Unternehmen den Zugang zu seinem Cloud-Netzwerk nicht mit MFA geschützt hatte. Obwohl die Risiken, diesen Schritt zu überspringen, klar sind, ergab der aktuelle LastPass Sicherheitsreport, dass weltweit nur 16% der Banken und Finanzinstitute MFA nutzen, verglichen mit 31% der Technologieunternehmen.

Zusätzlich steigern zielgerichtete Penetrationstests das Sicherheitsbewusstsein innerhalb des Unternehmens nachhaltig. Diese Tests decken physische, Hardware-, Software- und menschliche Schwachstellen umfassend auf. Damit erkennen die Unternehmen Einstiegspunkte für Hacker und können diesen mit entsprechenden Sicherheitsmaßnahmen entgegenwirken.

Sicherheitskultur durch Trainings 

Selbst Finanzinstitute mit den besten technologischen Abwehrmechanismen können einem Social Engineering-Angriff zum Opfer fallen. Ebenso können Sicherheitsrichtlinien redundant sein, wenn die Mitarbeiter nicht die erforderliche Schulung erhalten oder nicht motiviert sind, diese zu befolgen. Transparenz im Umgang mit Sicherheit bringt Verständnis: Unternehmen sollten ihre Mitarbeiter offen über alle möglichen Bedrohungen aufklären und Richtlinien herausgeben, wie sie beispielsweise Phishing-E-Mails erkennen oder welche Gefahren der Zugriff auf Unternehmensdaten in öffentlichen WiFi-Netzen birgt. Regelmäßige Schulungen und Auffrischungen sind der Schlüssel zur Verankerung von Sicherheit und Wachsamkeit in der Unternehmenskultur. Sie dienen dem Schutz der Daten und helfen den Mitarbeitern, die sowohl die erste als auch die letzte Verteidigungslinie sind.

Angesichts der Cyberrisiken können sich Banken und Finanzorganisationen einfach nicht erlauben, dass Sicherheit erst ein Thema nach einem Datenleak wird. Das Bankwesen befindet sich in einer Zeit großer Veränderungen, wobei Open Banking und PSD2 zu den größten Erschütterungen der Branche seit Jahren gehören, was neue Möglichkeiten für Innovationen - und auch Gefahren - mit sich bringt. Unternehmen können es nicht riskieren, Mitarbeiter weiterhin unbedarft mit Passwörtern und Datenbanken agieren zu lassen. Wer die Wirksamkeit effektiver Authentifizierungs- und Passwortmanagementrichtlinien unterschätzt, setzt die eigene und damit letztlich die Sicherheit der Kunden aufs Spiel.