„Mit einer Umfrage auf einer Sicherheitsmesse haben wir wohl eher Leute gefragt, die für das Thema bereits sensibilisiert sind. Es ist daher leider anzunehmen, dass eine repräsentative Umfrage ein noch weitaus düstereres Bild zeichnen würde“, vermutet Ga-Lam Chang, Geschäftsführer der Peak Solution GmbH. „Die Identifizierung eines Benutzers über Benutzername und Passwort reicht nicht aus, um kritische Systeme zu schützen: Die Identität muss sicher verifiziert werden. Nur wenn beide Faktoren zusammenkommen, können Zugang und Zugriff angemessen abgesichert werden.“
Über 60 Prozent der Befragten gaben an, sich aktuell mehr als drei Passwörter merken zu müssen. Bei 35 Prozent waren es sogar mehr als acht – und das, obwohl über die Hälfte der Unternehmen irgendeine Form des Single Sign-on praktiziert. Die Erfahrung von Sicherheitsexperten zeigt, dass mit einer wachsenden Zahl von Passwörtern entweder deren Qualität abnimmt oder die Passwörter griffbereit notiert werden. Beides lässt das Risiko unbefugter Zugriffe steigen.
Identitätsmanagement
Sicherheitsverletzungen durch ausgespähte Passwörter und missbräuchliche Nutzung von Ausweisen sind das eine Problem. Die Befragung der it-sa-Besucher deutet auf einen weiteren Schwachpunkt hin: die Verwaltung der digitalen Identitäten. Demnach verfügen nur 23 Prozent der repräsentierten Unternehmen über ein automatisiertes Identity Management. „Hier sehen wir noch viel Optimierungspotenzial. Die Automatisierung des Identitätsmanagements ist nicht nur ein Effizienzgewinn, sondern sie zwingt auch dazu, sich Gedanken über die Regelung der Berechtigungsvergabe und der Einrichtung digitaler Rechte zu machen“, erläutert IT-Sicherheitsexperte Chang. „Die fast 65 Prozent der Unternehmen, bei denen digitale Identitäten manuell oder teilautomatisiert verwaltet werden, können mit entsprechenden auditierbaren Regeln ein hohes Maß an Sicherheit und Nachvollziehbarkeit erreichen. Wer aber eine Zwei-Faktor-Authentisierung einführt und beispielsweise einen Multifunktionsmitarbeiterausweis nutzt, sollte seinen Administrationsaufwand auf jeden Fall durch ein Identity- und Accessmanagementsystem verringern.“