Categories: Anzeige

Sicherheitsrisiko: Rechtevergabe für Dritte

Nach einer Studie von One Identity führen Defizite beim Verwalten der Zugriffsberechtigungen von Third-Party-Nutzern zu signifikanten Schwachstellen. Die von Dimensional Research durchgeführte Studie mit über 1000 IT-Sicherheitsfachkräften beschäftigt sich mit der Herangehensweise von Unternehmen an Identity and Access Management (IAM) und Privileged Access Management (PAM) einschließlich von Third-Party-Nutzern. Dazu zählen Hersteller, Partner und Vertragsnehmer sowie befristet eingestelltes Personal.

Laut der Analysten von Gartner setzt die Mehrzahl aller Organisationen in steigenden Maße auf geschäftliche Dienstleistungsangebote Dritter. Damit steige auch die Zahl der Benutzer, die auf ein Netzwerk zugreifen. Das wiederum vergrößert die Angriffsfläche für Cyberattacken. Daher sei es immens wichtig, dass diese Benutzer genauso überwacht und der Zugriff in derselben Art und Weise verwaltet wird, wie das bei internen Nutzern der Fall ist. Die von One Identity durchgeführte Studie hat jedoch ergeben, dass viele Organisationen es bislang nicht geschafft haben, starke Benutzer-Governance und Zugriffspraktiken umzusetzen. Das mache Unternehmen anfällig für Cyberbedrohungen.

Eines der wichtigsten Ergebnisse der Studie ist der Umstand, dass 94 Prozent aller Organisationen externen Benutzern Zugriff auf das Netzwerk gewähren. 61 Prozent der befragten IT-Fachleute mussten sogar einräumen, dass sie sich nicht sicher sind, ob diese Nutzer unbefugt versucht haben auf Dateien und Daten zuzugreifen, und ob sie dabei vielleicht sogar erfolgreich waren. 72 Prozent geben externen Dritten sogar erweiterte/privilegierte Zugriffsrechte (administrative oder Superuser Rechte). Nur 22 Prozent der Befragten können mit Sicherheit sagen, dass Third-Party-Nutzer nicht unautorisiert versucht haben auf Informationen zuzugreifen oder dabei gar erfolgreich waren.

Lediglich 21 Prozent der befragten Organisationen entfernen Nutzer (oder deren Berechtigungen) von externen Dritten sofort nach Beendigung ihrer Aufgaben.
Ein Drittel aller Organisationen braucht mehr als 24 Stunden um einen Third-Party-User zu deprovisionieren oder verfügt erst gar nicht über einen in sich konsistenten Deprovisionierungsprozess.

Die befragten Organisationen bezweifeln in der überwiegenden Zahl, dass Third-Party-Benutzer sich an dieselben Sicherheitsempfehlungen und Richtlinien halten, und die Befragten vertrauen dieser Nutzergruppe grundsätzlich zu sehr. Lediglich 15 Prozent der Befragten sind davon überzeugt, dass Dritte den Vorgaben des Zugriffs-Managements folgen – etwa Konten nicht gemeinsam zu nutzen und in jedem Fall starke Passwörter zu verwenden.

Darrell Long, Vice President of Product Management bei One Identity, sagt zu den Ergebnissen der Studie: “Third-Party-Nutzer sind in modernen Unternehmen gang und gäbe und für alltägliche Abläufe auch nötig. Wenn allerdings die Zugriffsberechtigungen solcher Benutzer nicht korrekt verwaltet werden, geht mit ihnen ein nicht zu unterschätzendes Sicherheitsrisiko einher. Organisationen müssen verstehen, dass die Sicherheitslage immer nur so gut ist wie das jeweils schwächste Glied. Und das sind typischerweise Benutzer von externen Dritten innerhalb eines Netzwerks. Es ist von ganz entscheidender Bedeutung, die Identitäten und Zugriffsberechtigungen Dritter korrekt zu verwalten. Ganz so wie man es bei den eigenen Angestellten auch tut.”

Um Datenschutzverletzungen aufgrund eines nicht berechtigten Zugriffs durch unautorisierte Dritte zu vermeiden (wie es bei einigen der schwerwiegendsten Verstößen in der jüngsten Zeit der Fall gewesen ist), sollten Unternehmen die Sicherheitslage auf Basis des Privileged Access Managements (PAM) und der Identity Governance and Administration (IGA) verbessern. Laut der “Third Party Access and Compromise” Studie von One Identity scheitern viele Unternehmen daran, auch nur die Grundlagen von PAM- und IAM-Praktiken anzuwenden, wenn es an die Verwaltung von Third-Party-Benutzern geht. Das gleiche gilt für eine unmittelbare Deprovisionierung der betreffenden Konten und die Einhaltung von Regeln bei der Verwaltung der Zugriffsberechtigungen (wie etwa keine Konten oder Anmeldeinformationen gemeinsam zu nutzen).

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Online-Seminar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Google schließt Zero-Day-Lücke in Chrome

Von ihr geht ein hohes Risiko aus. Angreifbar sind Chrome für Windows, macOS und Linux.

8 Stunden ago

KI erkennt Emotionen in echten Sportsituationen

Forschende des KIT haben ein Modell zur Emotionsanalyse entwickelt, das affektive Zustände ähnlich genau wie…

20 Stunden ago

Ermittlern gelingt weiterer Schlag gegen Ransomware-Gruppe LockBit

Sie decken die Identität des Kopfs der Gruppe auf. Britische Behörden fahnden mit einem Foto…

2 Tagen ago

Apple stellt neuen Mobilprozessor M4 vor

Er treibt das neue iPad Pro mit OLED-Display an. Apple verspricht eine deutliche Leistungssteigerung gegenüber…

2 Tagen ago

Cyberabwehr: Mindestens zwei kritische Vorfälle pro Tag

Davon entfällt ein Viertel auf staatliche Einrichtungen und 12 Prozent auf Industrieunternehmen.

2 Tagen ago

Tunnelvision: Exploit umgeht VPN-Verschlüsselung

Forscher umgehen die Verschlüsselung und erhalten Zugriff auf VPN-Datenverkehr im Klartext. Für ihren Angriff benötigen…

2 Tagen ago