DER DRITTE JÄHRLICHE GLOBALE PASSWORT-SICHERHEITSREPORT - Neue weltweite Trends bei Zugriff und Authentifizierung in Unternehmen
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
1
DER DRITTE JÄHRLICHE GLOBALE
PASSWORT-SICHERHEITSREPORT
Neue weltweite Trends bei Zugriff und
Authentifizierung in Unternehmen
2019
lastpass.com
2
INHALT
EINLEITUNG 3
WICHTIGE ERKENNTNISSE 4
METHODIK 5
ERGEBNIS-ANALYSE 6
GLOBALE SICHERHEITSINITIATIVEN
UND -VORSCHRIFTEN 29
VERBESSERN SIE IHREN
SICHERHEITSWERT IN SECHS SCHRITTEN 33
WEITERE INFORMATIONEN 41
lastpass.com
3
EINLEITUNG
In unserem dritten jährlichen globalen Passwort-Sicherheitsreport möchten wir
interessante und nützliche Erkenntnisse hinsichtlich des Passwortverhaltens von
Mitarbeitern von Unternehmen auf der ganzen Welt teilen. Dabei möchten wir
IT- und Sicherheitsexperten die größten Hindernisse für Mitarbeiter in Bezug auf
Passwörter näherbringen und ihnen vermitteln, wie sie Herausforderungen beim
Verwalten und Sichern von Daten im digitalen Arbeitsplatz von heute bewältigen.
Außerdem wollen wir aufzeigen, wie effektiv die Passwortsicherheitsverfahren
in ihrem Unternehmen sind. Dieses Jahr haben wir noch mehr Daten ausgewertet
und den Report umfassender gestaltet.
Wir haben die Nutzung von Multifaktor-
Authentifizierung noch umfassender analysiert
und uns genauer angesehen, wie Unternehmen
diese wichtige Sicherheitsmaßnahme umsetzen.
ES HEISST
„WISSEN IST MACHT“
Wir haben viele weitere Aspekte der Passwortsicherheit und Passwortverwaltung
ausgewertet. So erhalten Sie einen tiefgehenden Einblick in Trends: Von der Mit den Erkenntnissen und Informationen
Integration von Benutzerverzeichnissen bis zu Richtliniennutzung, dem Teilen von aus diesem globalen Passwort-
Passwörtern, mobilen Apps, Passwortwiederverwendung und Passwortüberflutung. Sicherheitsreport möchten wir Ihnen
fundierte Entscheidungen hinsichtlich
Darüber hinaus werden in diesem Bericht einige wichtige internationale Vorschriften
des Passwortsicherheitsansatzes Ihres
vorgestellt, die in den vergangenen 12 Monaten erheblich an Bekanntheit gewonnen Unternehmens ermöglichen. Mit jedem
und zu einem höheren Stellenwert der Passwortsicherheit geführt haben. starken Passwort können Sie die Sicherheit
in Ihrem Unternehmen verbessern.
lastpass.com
4
WICHTIGE ERKENNTNISSE
Der globale Passwort-Sicherheitsreport 2019 macht Eines ganz deutlich: Unternehmen HIGHLIGHTS AUS DEM AKTUELLEN BERICHT:
haben in den Bereichen Passwort- und Identitätsmanagement noch viel zu tun.
• Global: Mehr als die Hälfte der Unternehmen auf der ganzen Welt
Es werden zwar immer mehr wichtige Sicherheitsmaßnahmen wie Multifaktor- setzen Multifaktor-Authentifizierung für ihre Mitarbeiter ein
Authentifizierung eingesetzt, aber Mitarbeiter zeigen leider immer noch mangelhaftes • Fortschritt: IT-Administratoren nutzen Richtlinien und integrierte
Passwortverhalten. Dies schwächt die Gesamtsicherheitsposition des Unternehmens. Systeme für mehr Sicherheit und optimiertes Management.
Allerdings könnten mehr IT-Administratoren die Nutzung der
Auch wenn viel mehr Unternehmen die wichtige Investition in Passwortsicherheits Multifaktor-Authentifizierung vorschreiben
lösungen tätigen, um den Mitarbeiterzugriff zu schützen, sind auch nach der • Führend: Die Niederlande ist dieses Jahr Leader in puncto Sicherheit,
Bereitstellung weitere Maßnahmen erforderlich, um das Passwortverhalten in der mit hoher Nutzung von Multifaktor-Authentifizierung und dem besten
ganzen Organisation zu verbessern. Ergebnis im Sicherheitstest
• Mobilität: Die Möglichkeit, Passwörter auf Mobilgeräten abzurufen,
führt zu wesentlich besseren Erfahrungen und höherer Mitarbeiter
nutzung
• Risiko: Passwörter werden immer noch oft wiederverwendet,
was zu einem höheren Risiko führt
• Initiativen: International führen zunehmende Vorschriften zu einem
höheren Bewusstsein der Passwortsicherheit, besonders in EMEA und
APAC
• Verantwortlichkeit: IT-Organisationen müssen Verantwortung für
fortlaufende Schulungen übernehmen sowie proaktive Maßnahmen
ergreifen, um riskantes Passwortverhalten zu beseitigen
lastpass.com
5
METHODIK
Wir können seit dem Bericht im letzten Jahr auf noch mehr Daten zugreifen,
da immer mehr Unternehmen LastPass eingesetzt haben.
Wir haben Daten von mehr als 47,000 LastPass-Kunden anonymisiert und
zusammengefasst. Wie in den Vorjahren repräsentiert dieser Bericht Unter
nehmen unterschiedlicher Größenordnungen, Branchen und Regionen.
So erhalten wir wertvolle und differenzierte Einblicke in die Passwortsicherheit
auf globaler Ebene, die wir gerne mit Ihnen teilen.
Obwohl die Daten ausschließlich LastPass-Benutzer betreffen, sind sie doch
so umfangreich und detailliert, dass die Schlussfolgerungen übergreifend auf
die Unternehmenswelt angewendet werden können.
lastpass.com
6
ERGEBNIS-ANALYSE
Sehen Sie sich unsere Erkenntnisse an und erfahren Sie, wie sich
das Passwortverhalten unternehmensweit verändert hat.
lastpass.com
7
NUTZUNG DER
MULTIFAKTOR-
AUTHENTIFIZIERUNG
NIMMT ZU
Die immer größere Nutzung der Multifaktor-Authentifizierung (MFA) in Unternehmen
ist eine der wichtigsten Erkenntnisse in diesem Bericht. Diese hat im Vergleich zu
unseren Ergebnissen 2018 erheblich zugenommen.
Unseren Daten zufolge nutzen 57 % der
Unternehmen auf der ganzen Welt MFA.
Das sind 12 % mehr als im letzten Jahr.
Es ist hervorragend, dass immer mehr Unternehmen in die IT-Sicherheit über
das Passwort hinaus investieren. Darüber hinaus werden MFA-Lösungen
benutzerfreundlicher und unterstützen mehr immer mehr Anwendungsfälle, HINWEIS
was wiederum die Benutzerakzeptanz erhöht. „MFA“ umfasst in diesem Bericht auch die
Zwei-Faktor-Authentifizierung (2FA). Bei der Zwei-
Faktor-Authentifizierung müssen zwei separate Faktoren
zur Verifizierung eines Benutzers bereitgestellt werden,
damit dieser Zugriff auf eine Anwendung erhält. Die Multifaktor-
Authentifizierung ist der umfassendere Begriff für die Nutzung
von zwei oder mehr separaten Faktoren zum Verifizieren und
Autorisieren eines Benutzers.
lastpass.com
8 ERGEBNIS-ANALYSE
DIE SOFTWAREBASIERTE MULTIFAKTOR-AUTHENTIFIZIERUNG VON UNTERNEHMEN
IST DIE MEIST VERWENDETE MFA-LÖSUNG VERWENDETE MFA-LÖSUNGEN
Insgesamt verwenden 95 % der Mitarbeiter, die MFA nutzen, eine softwarebasierte 1%
4% biometrisch
Lösung für die Multifaktor-Authentifizierung, wie beispielsweise eine Anwendung Hardware
auf dem Smartphone. Nur 4 % verwenden eine hardwarebasierte Lösung und nur
1 % eine Lösung basierend auf biometrischen Eigenschaften.
95 %
Angesichts der Skalierbarkeit und niedrigeren Kosten von softwarebasierten Software
Lösungen ist es keine Überraschung, dass diese am beliebtesten sind. Obwohl
die Nutzung biometrischer Faktoren mit LastPass momentan bei 1 % liegt,
erwarten wir in naher Zukunft eine dramatische Veränderung: Beispielsweise
durch einen einfachen Zugriff mit unserer neuen Lösung LastPass MFA.
Die Zukunft von MFA
Andere Studien zeigen, dass 62 % der Unternehmen derzeit biometrische
Authentifizierungstechnologie einsetzen, und sagen voraus, dass fast
90 % von Unternehmen sie bis 2020 verwenden.1 Wir erwarten eine
Spiegelung dieser Trends in unseren eigenen Analysen in der Zukunft.
1
www.spiceworks.com/press/releases/spiceworks-study-reveals-nearly-90-percent-businesses-will-use-
lastpass.com
biometric-authentication-technology-2020/
9 ERGEBNIS-ANALYSE
AM MEISTEN GENUTZTE MFA-OPTIONEN UNTER
ALLEN UNTERNEHMEN
SMARTPHONE-BASIERTE APPS ZUR MULTIFAKTOR-
AUTHENTIFIZIERUNG SIND DIE ERSTE WAHL FÜR LASTPASS- LastPass Authenticator
BENUTZER 39 %
Duo Security
Unter den Mitarbeitern, die Multifaktor-Authentifizierung mit LastPass verwenden, ist 31 %
LastPass Authenticator mit 39 % die beliebteste Option. Andere beliebte Optionen Google Authenticator
sind Duo Security und Google Authenticator, die jeweils von 31 % und 24 % der 24 %
Mitarbeiter als Multifaktor-Authentifizierungsoptionen verwendet werden.2
YubiKey
4%
Diese MFA-Lösungen haben viel gemeinsam. Es ist also nicht überraschend, dass
Microsoft Authenticator
sie die beliebtesten Tools sind. Sie sind alle App-basiert und werden in erster Linie
1%
am Smartphone eines Mitarbeiters verwendet. LastPass Authenticator und Duo
Security bieten die praktische Authentifizierung mit nur einem Fingertippen am Salesforce Hash
0,8 %
Telefon. Bei allen drei Tools können Sie zudem einen zeitbasierten sechsstelligen
Code eingeben. Windows Biometric
0,7 %
LastPass Grid
0,5 %
Transakt
0,2 %
Andere
0,2 %
*Not to scale
2
2019 hat LastPass die neue Lösung LastPass MFA eingeführt. Da in diesem Bericht allerdings nur Daten von Ende
lastpass.com
2018 bis Anfang 2019 analysiert werden, sind keine Daten zur neuen MFA-Lösung enthalten.
10 ERGEBNIS-ANALYSE
PROZENT DER UNTERNEHMEN, DEREN MITARBEITER MFA NUTZEN
NACH LAND
DÄNEMARK IST FÜHREND IN DER NUTZUNG VON
Dänemark MULTIFAKTOR-AUTHENTIFIZIERUNG
46 %
Niederlande
41 % Es ist ein gutes Zeichen, dass die Gesamtnutzung von MFA zunimmt, aber wie lässt
Schweiz sich die Nutzung in verschiedenen Teilen der Welt aufschlüsseln?
38 %
Belgien
Die MFA-Nutzung ist in Dänemark am höchsten, kurz gefolgt von den Niederlanden
36 %
Vereinigtes Königreich und der Schweiz. In Ländern wie Italien, Schweden, Spanien und Frankreich wird
33 % MFA aber leider viel weniger eingesetzt. Deutschland liegt im Mittelfeld, während
Deutschland die USA MFA etwas weniger nutzt. Später im Bericht unter „Globale Sicherheits
32 %
Neuseeland
initiativen und -vorschriften“ sprechen wir darüber, wie zusätzliche Vorschriften in
29 % Europa und Australien zu einem höheren Bewusstsein und größerer Nutzung von
Australien MFA beitragen können.
29 %
USA
28 % Insgesamt sind Unternehmen in einigen Ländern offensichtlich proaktiver in puncto
Kanada Sicherheitsverbesserung, während andere die Nutzung von MFA besser fördern
28 %
müssen.
Spanien
25 %
Frankreich
25 %
Schweden
22 %
Italien
20 %
lastpass.com11 ERGEBNIS-ANALYSE
PROZENT DER UNTERNEHMEN, DEREN MITARBEITER MFA NUTZEN
NACH BRANCHE
UNTERNEHMEN IM TECHNOLOGIE-/SOFTWARESEKTOR
NUTZEN MULTIFAKTOR-AUTHENTIFIZIERUNG MIT HÖHERER Technologie/Software
WAHRSCHEINLICHKEIT, WÄHREND VERSICHERUNGS- UND 37 %
Bildung
RECHTSWESEN NACHHOLBEDARF HABEN 33 %
Compliance-Vorschriften können zwischen Branchen stark variieren. Daher ist es ganz natür- Banking/Finanzwesen
32 %
lich, dass einige Sektoren proaktiver beim Implementieren zusätzlicher Sicherheitslösungen
Telekommunikation
wie MFA sind. Unserer Analyse zufolge haben Mitarbeiter bei Technologie-/Softwareunter- 31 %
nehmen MFA am meisten verwendet. Bei vielen Organisationen im Bildungswesen nutzen Behörden
Mitarbeiter ebenfalls MFA. Im Versicherungs- und Rechtswesen, in denen Mitarbeiter mit 27 %
sensiblen Kundendaten zu tun haben und von MFA Lösungen am meisten profitieren würden, Fertigung
27 %
werden diese am geringsten eingesetzt.
Gesundheit
26 %
Viele Unternehmen, die Mitarbeiter zur Nutzung von MFA ermutigen oder anhalten, sind
Einzelhandel
ihren Wettbewerbern in Bezug auf die Minderung von Bedrohungen wahrscheinlich einen 24 %
großen Schritt voraus. Im Zusammenhang mit Cybersicherheit können die häufigsten Gemeinnützige Organisationen
Angriffe am besten mit angemessenen Grundlagen verhindert werden. Wir können also 21 %
Medien/Werbung
davon ausgehen, dass MFA in den nächsten Jahren weiter zunimmt.
21 %
Rechtswesen
20 %
PROZENT DER UNTERNEHMEN, DIE MFA NUTZEN Versicherung
20 %
AM HÖCHSTEN MITTLERER BEREICH AM NIEDRIGSTEN
37 %
Technologie/Software
33 Bildung
%
20 %
Versicherungs- und
Rechtswesen
lastpass.com12 ERGEBNIS-ANALYSE
PROZENT DER UNTERNEHMEN, DEREN MITARBEITER MFA NUTZEN
NACH UNTERNEHMENSGRÖSSE
MULTIFAKTOR-AUTHENTIFIZIERUNG WIRD IN GROSSEN
Mehr als 10.000 UNTERNEHMEN MEHR EINGESETZT, KLEINERE
87 % UNTERNEHMEN HABEN NACHHOLBEDARF
1.001–10.000
78 % Es ist wahrscheinlich nicht überraschend, dass Mitarbeiter bei den größten
501–1.000
Unternehmen am ehesten MFA einsetzen. Bei Tausenden Mitarbeitern nutzen
44 % mindestens einige MFA. Zudem können größere Unternehmen mit mehr Richtlinien
und Vorschriften konfrontiert sein, weshalb sie MFA eher einsetzen (insbesondere
101–500
IT- und Sicherheitsadministratoren).
41 %
26–100
Leider nutzen weniger als ein Drittel der kleinen Unternehmen MFA. Wir
34 %
interpretieren das so, dass Unternehmen mit höchstens 1.000 Mitarbeitern weniger
0–25 vertraut mit MFA sind oder es einfach keine Priorität ist – was verständlich ist, wenn die
27 % IT-Mitarbeiter wahrscheinlich viele Aufgaben und Prioritäten erfüllen müssen. Gemäß
dem Verizon Data Breach Investigations Report von 2019 zielen allerdings 43 %
aller Cyberangriffe auf kleine Unternehmen ab.3 Darüber hinaus werden 60 % der
kleinen und mittelständischen Unternehmen, die gehackt werden, innerhalb von sechs
Monaten aufgelöst.4 Auch wenn Unternehmen mit weniger als 1.000 Mitarbeitern
43
vielleicht denken, dass sie unbemerkt bleiben, belegen die Daten anderes.
% aller Cyberangriffe zielen
auf Kleinunternehmen ab
Kurz gesagt: Egal, wie groß das Unternehmen ist, sollte eine Multifaktor-
Authentifizierung Teil des Sicherheitskonzeptes sein. Da viele kosten
günstige, benutzerfreundliche Möglichkeiten verfügbar sind, sollte jedes
Unternehmen die richtige MFA-Lösung für seine Anforderungen finden können.
3
https://enterprise.verizon.com/resources/reports/dbir/
lastpass.com
4
National Cyber Security Alliance13 ERGEBNIS-ANALYSE
AM MEISTEN GENUTZTE ANPASSBARE RICHTLINIEN IN
LASTPASS
IT-EXPERTEN SUCHEN NACH MEHR SICHERHEIT UND
KONTROLLE IN BEZUG AUF ANPASSBARE PASSWORT Superadministrator – Master-Passwortwiederherstellung
VERWALTUNGSRICHTLINIEN 36 %
Wo setzen Administratoren zusätzlichen Schutz für den Benutzerzugriff durch?
LastPass bietet neben den verfügbaren Standard-Sicherheitsrichtlinien, die eine
grundlegende Sicherheitsebene bieten, weitere Richtlinien für zusätzliche Sicherheit Superadministrator - Freigegebene Ordner
und Administratorkontrolle. Diese werden von vielen Unternehmen aktiviert. 24 %
Die Richtlinie zur Wiederherstellung des Master-Passworts wird am häufigsten von
LastPass-Benutzern genutzt. Damit können LastPass-Administratoren das Master-
Länge des Master-Passworts
Passwort eines Benutzers zurücksetzen. Selbst wenn Benutzer sich nur ein Master-
Passwort merken müssen, wünschen sich Administratoren offensichtlich eine 24 %
Absicherung für vergessene Passwörter.
Die Richtlinie „Superadministrator – Freigegebene Ordner“ wird ebenfalls von 24 %
Export verbieten
der Administratoren aktiviert. Damit können diese alle freigegebenen Ordner im
20 %
Unternehmen anzeigen und bearbeiten. Administratoren erhalten mit erweiterten
Berechtigungen mehr Kontrolle und Flexibilität. Administratoren wollen ein
stärkeres Master-Passwort durchsetzen und können dank LastPass ver
Abmeldung bei Schließen des Browsers
hindern, dass Mitarbeiter, wenn sie aus dem Unternehmen ausscheiden,
geschäftliche Passwörter weiterverwenden. 15 %
Zu anderen Sicherheitsmaßnahmen gehören das automatische Abmelden von LastPass
nach Ende der Browsersitzung und die Durchsetzung der Multifaktor-Authentifizierung.
MFA durchsetzen
Wie in den vorherigen Abschnitten gezeigt, nutzen die Mitarbeiter in recht vielen Unter
nehmen MFA. Angesichts der wichtigen Sicherheitsvorteile von MFA hoffen wir allerdings, 15 %
dass noch mehr Unternehmen die Multifaktor-Authentifizierung nicht nur empfehlen,
sondern auch durchsetzen.
lastpass.com14 ERGEBNIS-ANALYSE
BELIEBTE IDENTITÄTSANBIETER BEI UNTERNEHMEN, DIE
INTEGRATION VON VERZEICHNISDIENSTEN
MIT LASTPASS VERWENDEN
Die meisten Unternehmen pflegen ein Benutzerverzeichnis, in dem sie die
Active Directory
Mitarbeiter der Organisation sowie die von ihnen benötigten Technologien
5% 81 %
und Ressourcen verfolgen können.
Active Directory Federation Services
Gemäß unserer Daten haben 25 % der Unternehmen einen Passwort-
Manager in ihr Benutzerverzeichnis integriert. So können sie Onboarding, Azure AD
Offboarding und andere alltägliche Managementaufgaben automatisieren. 15 %
Okta
Von den Unternehmen, die die Verzeichnissynchronisierung aktiviert
3%
haben, nutzt der Großteil (81 %) den Active Directory-Client. Weitere 15 %
verwenden Azure AD. Einige Unternehmen verwenden auch ihren Single OneLogin
Sign-On-Anbieter als Benutzerverzeichnis. 3 % nutzen Okta und 0,5 % 0,5 %
nutzen OneLogin.
Von den Unternehmen, die Active Directory nutzen, haben 5 % auch
die Verbundanmeldung mit Active Directory Federation Services (ADFS)
aktiviert. So können Mitarbeiter mit ihrem Active Directory-Passwort auf
ihren Passwort-Manager zugreifen, was die Nutzung von LastPass noch
25
der Unternehmen haben ihre
vereinfacht. Da diese Funktion erst kürzlich für LastPass veröffentlicht wurde,
erwarten wir zukünftig einen Anstieg in der Nutzung. % Passwortmanagementlösung
und Benutzerverzeichnisse
integriert.
lastpass.com15 ERGEBNIS-ANALYSE
DIE MOBILE NUTZUNG NIMMT WEITER ZU – UND FÜHRT ZUR
HÖHEREN AKZEPTANZ EINES PASSWORT-MANAGERS BEI
MITARBEITERN
In diesem Jahr haben wir zum ersten Mal untersucht, wie Mitarbeiter ihren Passwort-
Manager auf Mobilgeräten verwenden. Eines wird dabei deutlich: Wenn Mitarbeiter
einfach über ihr Smartphone oder ein anderes Gerät ihrer Wahl Passwörter abrufen
und verwenden können, setzen sie ihren Passwort-Manager auch eher ein. Gemäß
den Daten vereinfacht die Option, Passwörter auf allen Geräten zu speichern und aus
zufüllen, die Nutzung insgesamt ganz erheblich.
Global greifen
23 %
der Mitarbeiter auf ihrem Smartphone
auf ihre Passwort-Vaults zu. Dabei nutzen
14 % die LastPass-iOS-App und 9 % die
LastPass-Android-App.
lastpass.com16 ERGEBNIS-ANALYSE
MITARBEITERNUTZUNG DER LASTPASS-APP NACH BETRIEBSSYSTEM
PRO LAND
Die USA steht ganz oben in der iOS-Nutzung: Bei 14 % der Unternehmen nutzen iOS ANDROID
die Mitarbeiter die iOS App zum Speichern und Ausfüllen ihrer Passwörter. 10 %
Italien
10 %
Android wird in den USA am wenigsten genutzt – nur 7 % der Unternehmen haben 12,6 % 10,4 %
Mitarbeiter, die diese Plattform verwenden. Unternehmen in Neuseeland setzen Neuseeland
11,8 % 11,1 %
Android am meisten ein – 11 % haben Mitarbeiter, die mit der Android-App auf
Schweden
ihre Passwörter zugreifen. Interessanterweise weisen Italien und Schweden eine 13,3 % 9,5 %
vergleichsweise hohe Nutzung von Android und iOS auf. In diesen Ländern wird Schweiz
eine insgesamt höhere Akzeptanz auf Mobilgeräten gezeigt. 13,8 % 8,8 %
USA
Die Verbesserung der Integration von mobilen Plattformen in Passwort-Manager 14,2 % 7%
haben sicherlich eine Rolle in der gesteigerten Nutzung gespielt. Nach der Australien
12,4 % 8,5 %
Einführung von iOS 12 haben beispielsweise mehr Benutzer mit der LastPass-App
Niederlande
interagiert. Dabei wurde LastPass 50 % häufiger zur Anmeldung bei Apps und 12,2 % 8,5 %
Websites vom Mobilgerät aus verwendet als zuvor. iOS 12 hat die Landschaft für Kanada
Passwort-Manager auf iPhones verändert und sich auch positiv auf die Nutzung 11,6 % 8,9 %
mobiler Apps am Arbeitsplatz ausgewirkt. Belgien
10,4 % 9,7 %
Insgesamt scheint die Nutzung mobiler Geräte bei der Einführung für eine Enterprise- Dänemark
12 % 7,7 %
Passwortmanagementlösung die Chance, dass Mitarbeiter LastPass weiter ver
Frankreich
wenden, erheblich zu steigern. Die Nutzerbindung ist durchschnittlich etwa 10,4 % 9%
30 % höher, wenn mobile Nutzung möglich ist. IT-Experten sollten unbedingt Vereinigtes Königreich
erwägen, Schulungen zu Funktionen und Vorteilen der mobilen Passwortverwaltung 11,1 % 7,8 %
in ihren Bereitstellungsplan im Zuge der Einführung einer Passwortmanagementlösung Spanien
10,2 % 8,1 %
aufzunehmen.
Deutschland
10,6 % 7,2 %
lastpass.com17 ERGEBNIS-ANALYSE
DIE WEITERGABE VON PASSWÖRTERN IST IN DEN MEISTEN
UNTERNEHMEN IMMER NOCH GANG UND GÄBE
Wie bereits in früheren Berichten erläutert, werden in den meisten Unternehmen
immer noch Passwörter weitergegeben. Viele Abteilungen oder Teams besitzen
vielleicht nur eine oder zwei Lizenzen für einen Service, auf den mehrere Mitarbeiter
zugreifen müssen oder der gemeinsam mit externen Auftragnehmern oder
Organisationen verwendet wird. Auch jetzt zeigt unsere Analyse wieder, dass
Passwörter noch immer oft gemeinsam genutzt werden. Es ist also noch wichtiger
für Unternehmen, eine Lösung für sichere, verschlüsselte Freigabe einzusetzen. Die
Frage ist nicht, ob Mitarbeiter Passwörter weitergeben, sondern wie sicher
sie das machen.
Ein Unternehmen verwendet im
Durchschnitt 185 freigegebene
Ordner.
Dieses Jahr haben wir uns die Weitergabe von Passwörtern auf Unternehmensebene
angesehen, um zu verstehen, wie viele Elemente wirklich in einem typischen
Unternehmen freigegeben werden. Haben Unternehmen keinen Einblick und
keine Kontrolle in freigegebene Zugangsdaten, führt dies zu erheblich größeren
Sicherheitsrisiken.
lastpass.com18 ERGEBNIS-ANALYSE
BESONDERS MITARBEITER BEI KLEINUNTERNEHMEN KLEINUNTERNEHMEN (1–25 MITARBEITER)
HABEN OFT PROBLEME MIT PASSWÖRTERN
Im Laufe der Jahre haben sich enorm viele Passwörter angesammelt, die sich
Mitarbeiter merken müssen. Während Cloud-Apps, mobile Apps und zahlreiche
85 Passwörter pro Mitarbeiter
im Durchschnitt
neue Technologien viele positive Veränderungen am Arbeitsplatz mit sich
gebracht haben, führten sie auch zu einer riesigen Menge an Passwörtern, die
GRÖSSERE UNTERNEHMEN (1.001–10.000 MITARBEITER)
25
Mitarbeiter sich nur schwer merken können. Wir alle wissen, dass die über
Passwörter pro Mitarbeiter
wältigende Anzahl an Passwörtern mangelhaftes Passwortverhalten zur Folge hat,
im Durchschnitt
wenn keine unterstützende Technologie vorhanden ist.
Die kleinsten Unternehmen nutzen die meisten Passwörter, während Mitarbeiter
bei größeren Unternehmen sich deutlich weniger Passwörter merken müssen.
Wir können nur Vermutungen anstellen, warum das so ist. Aufgrund von Ressourcen
und Vorschriften nutzen größere Unternehmen eher Single Sign-On-Lösungen,
mit denen Mitarbeiter mit weniger Passwörtern auf mehr Anwendungen zugreifen
können. Mitarbeiter von größeren Unternehmen sind darüber hinaus auch
eingeschränkter in Bezug auf die Nutzung von externen Services.
Weniger als
50 %
Unabhängig davon nutzen Mitarbeiter bei Unternehmen aller
Größenordnungen offensichtlich immer noch viel mehr Passwörter,
als sie sich selber merken können. Davon stellt jedes Passwort
einen Zugriffspunkt für das Unternehmen dar, der ordnungsgemäß von Unternehmen
nutzen eine SSO-
gesichert werden muss.
Lösung
lastpass.com19 ERGEBNIS-ANALYSE
DURCHSCHNITTLICHE ANZAHL PASSWÖRTER PRO MITARBEITER
NACH BRANCHE
MITARBEITER IN DER MEDIEN-/WERBEBRANCHE NUTZEN
DIE MEISTEN PASSWÖRTER Medien/Werbung
97
Wer hätte gedacht, dass es solche Unterschiede in der Anzahl an Passwörtern geben Telekommunikation
könnte, die Mitarbeiter in unterschiedlichen Branchen verwenden? Unseren Daten 81
zufolge müssen sich Mitarbeiter in einigen Branchen wesentlich mehr Passwörter Technologie/Software
78
merken.
Rechtswesen
75
Einzelhandel
DURCHSCHNITTLICHE ANZAHL VON PASSWÖRTERN 73
(PRO MITARBEITER) Gesundheit
71
AM HÖCHSTEN AM NIEDRIGSTEN Banking/Finanzwesen
69
97 54
Fertigung
67
Bildung
64
Medien/Werbung Behörden Versicherung
59
Gemeinnützige Organisationen
57
Woher kommen die Unterschiede? Behörden
In einigen Branchen werden mehr Technologie und Anwendungen eingesetzt 54
und viele Kundendaten verwaltet. So arbeiten Medien-/Werbeagenturen unter
Umständen mit vielen Kunden zusammen und verwalten für diese verschiedene
Zugänge und bespielsweise Social Media Accounts. Eines ist sicher: Wenn jeder
Mitarbeiter sich 50 Passwörter merken muss, liegt es im Interesse eines Unter
nehmens, dass diese so stark wie möglich sind und so verwaltet werden, dass
die Belastung der Mitarbeiter erleichtert wird.
lastpass.com20 ERGEBNIS-ANALYSE
DURCHSCHNITTLICHE ANZAHL PASSWÖRTER PRO MITARBEITER
NACH LAND
MITARBEITER IN BELGIEN SIND REGELRECHT ÜBERFLUTET
Belgien VON PASSWÖRTERN, WÄHREND ES DENEN IN FRANKREICH
112
ETWAS BESSER GEHT
Italien
80 Ähnlich wie bei der Analyse der Passwortverwendung nach Branche waren wir
Neuseeland
auch überrascht, solche Diskrepanzen in der Passwortnutzung von Mitarbeitern in
76
Spanien verschiedenen Ländern zu entdecken.
76
Vereinigtes Königreich
76
USA
75
Kanada
74
DURCHSCHNITTLICHE ANZAHL VON PASSWÖRTERN
Schweiz
(PRO MITARBEITER)
74
Deutschland
70 AM NIEDRIGSTEN MITTLERER BEREICH AM HÖCHSTEN
Niederlande
50 75 112
67
Australien
66
Frankreich
63 Schweden USA Belgien
Dänemark
55
Schweden
50
lastpass.com21 ERGEBNIS-ANALYSE
DIE WIEDERVERWENDUNG VON PASSWÖRTERN IST
IMMER NOCH EIN OFT GESEHENES PROBLEM, VOR ALLEM
FÜR KLEINUNTERNEHMEN
Mittlerweile weiß eigentlich jeder, dass man Passwörter nicht wiederverwenden
sollte. Warum wird es dann aber immer noch gemacht? In erster Linie weil Mitarbeiter
sich keine komplexen Passwörter ausdenken und merken möchten. Sie möchten
sich leicht an Passwörter erinnern, damit sie sich schnell und einfach anmelden
können. Wenn Mitarbeiter einen Passwort-Manager einsetzen, müssen sie natürlich
keine Passwörter mehr wiederverwenden. Sie müssen aber daran denken, Pass
wörter durch neue, nach dem Zufallsprinzip erstellte Passwörter zu ersetzen.
Unseren Daten zufolge werden
Passwörter im Schnitt 13 Mal
wiederverwendet.
Das Risiko besteht dabei natürlich darin, dass ein gestohlenes oder kompromittiertes
Passwort für ein Konto einem Angreifer gleich das erforderliche Passwort für mehrere
andere Konten geben kann. Der Verizon Data Breach Investigations Report (DBIR)
2019 bestätigt, dass gestohlene und wiederverwendete Zugangsdaten bei 80 %
von Hacking-Vorfällen verwendet wurden.
Wenn ein Unternehmen das Risiko von Datenschutzverletzungen
reduzieren möchte, ist es einer der effektivsten Schritte, Mitarbeitern
das Erstellen eindeutiger, komplexer Passwörter zu erleichtern.
lastpass.com22 ERGEBNIS-ANALYSE
DURCHSCHNITTLICHE ANZAHL VON WIEDERVERWENDETEN PASSWÖRTERN
NACH UNTERNEHMENSGRÖSSE
IN UNTERNEHMEN MIT WENIGER ALS 1.000 MITARBEITERN
WERDEN IN DER REGEL DIE MEISTEN PASSWÖRTER 0–25
WIEDERVERWENDET 14
Unter Umständen gelten bei kleineren Unternehmen weniger strenge Passwort 26–100
12
sicherheitsrichtlinien, oder Mitarbeiter kümmern sich nicht darum, alte, mehrmals
verwendete Passwörter durch neuere zu ersetzen. Kleinere Unternehmen müssen 101–500
das Ersetzen von Passwörtern durch zufällige Passwörter priorisieren und mithilfe 11
eines Passwort-Managers einen Einblick in das Passwortverhalten der Mitarbeiter 501–1.000
im Unternehmen erlangen. 10
1.001–10.000
4
Mehr als 10.000
DURCHSCHNITTLICHE ANZAHL VON 4
WIEDERVERWENDETEN PASSWÖRTERN
AM HÖCHSTEN AM NIEDRIGSTEN
10–14
Weniger als 1.000 Mitarbeiter
4
Mehr als 1.000 Mitarbeiter
lastpass.com23 ERGEBNIS-ANALYSE
DURCHSCHNITTLICHE ANZAHL VON WIEDERVERWENDETEN PASSWÖRTERN
NACH BRANCHE
MITARBEITER IN MEDIEN-/WERBEAGENTUREN NUTZEN
Medien/Werbung
AM HÄUFIGSTEN WIEDERVERWENDETE PASSWÖRTER
22
Bei Betrachtung der Passwortwiederverwendung in verschiedenen Branchen ist die
Technologie/Software
15 Verteilung relativ gleichmäßig. Es gibt allerdings ein paar Ausreißer.
Telekommunikation Mitarbeiter der Branche Medien/Werbung nutzen fast doppelt so viele
13
Banking/Finanzwesen
wiederverwendete Passwörter als in anderen Branchen.
12
Die Wiederverwendung von Passwörtern ist nie sicher, es ist aber offensichtlich,
Bildung
10 dass einige Branchen besonders viel Arbeit vor sich haben, die Wiederverwendung
Behörden von Passwörtern am Arbeitsplatz zu reduzieren.
10
Gesundheit
10
Versicherung
10
Rechtswesen
10
Fertigung DURCHSCHNITTLICHE ANZAHL VON
10 WIEDERVERWENDETEN PASSWÖRTERN
Gemeinnützige Organisationen
9 AM NIEDRIGSTEN MITTLERER BEREICH AM HÖCHSTEN
Einzelhandel
9 15 22
9
Gemeinnützige Technologie/ Medien/Werbung
Organisationen, Software
Einzelhandel
lastpass.com24 ERGEBNIS-ANALYSE
DURCHSCHNITTLICHE ANZAHL VON WIEDERVERWENDETEN PASSWÖRTERN
NACH LAND
UNTERNEHMEN IN KANADA MÜSSEN AN DER
REDUZIERUNG WIEDERVERWENDETER PASSWÖRTER Kanada
ARBEITEN 15
Hinsichtlich der Wiederverwendung von Passwörtern in verschiedenen Ländern Australien
14
weichen die Durchschnittswerte weniger stark voneinander ab. Anscheinend spielt Neuseeland
die Geografie eine viel kleinere Rolle als die Unternehmensgröße und die Branche 14
in Bezug auf die Wiederverwendung von Passwörtern. Frankreich
14
Belgien
14
DURCHSCHNITTLICHE ANZAHL VON Niederlande
14
WIEDERVERWENDETEN PASSWÖRTERN
USA
AM HÖCHSTEN AM NIEDRIGSTEN 13
Schweiz
15 11
13
Deutschland
13
Spanien
12
Kanada Dänemark und Schweden
Italien
12
Vereinigtes Königreich
12
Dänemark
11
Schweden
11
lastpass.com25 ERGEBNIS-ANALYSE
ÜBERLEGUNGEN ZU DEN SICHERHEITSWERTEN 2019
UND WARUM DIE RICHTIGE PASSWORTSICHERHEIT KEINE
EINMALIGE ANGELEGENHEIT IST
Letztes Jahr haben wir die Benchmark für den Passwortsicherheitswert eingeführt. An-
hand dieser Zahl kann die Passwortsicherheit in Unternehmen aller Größenordnungen
in vielen Branchen auf der ganzen Welt beurteilt werden. Auch wenn einige Sicherheits-
werte dieses Jahres gleich geblieben sind (der Benchmark-Wert 2019 ist 49), haben
wir in bestimmten Bereichen erhebliche Steigerungen verzeichnet.5
Es gibt mehrere Gründe, warum der Benchmark-Wert 2019 gleich geblieben ist.
Während die Anzahl der LastPass Nutzer steigt, und der initiale Passwort-Sicherheits
wert zu Beginn geringer ist, hat dies einen Einfluss auf den Durchschnittswert.
Wir erwarten aber, dass die Werte dieser Benutzer im Laufe der Zeit steigen. Im
Allgemeinen investieren mehr Unternehmen in Passwortsicherheit. Außerdem führen
viele Unternehmen den Passwortmanager häufig erst sukzessive von einer Abteilung
zur nächsten ein.
Wie in den vorangehenden Abschnitten des Berichts ersichtlich ist, führt die vermehrte
Nutzung der Multifaktor-Authentifizierung zu einer Erhöhung der Sicherheitswerte,
während fortlaufende Passwortwiederverwendung und mangelhaftes Passwortverhalten
die Sicherheitswerte verringert.
Dieser Bericht macht ganz deutlich, dass Unternehmen weiterhin Mitarbeiter –
besonders neue Benutzer – schulen und das Passwortverhalten auch weiterhin
mit den in einem Passwort-Manager verfügbaren Tools verbessern müssen.
5
Erinnerung: Die Benchmark für den Passwortsicherheitswert ist der durchschnittliche LastPass-Sicherheitswert für Unternehmen • Anzahl der mehrfach verwendeten Passwörter • Anzahl der schwachen Passwörter
auf der ganzen Welt. Der Sicherheitswert wird im Rahmen des LastPass-Sicherheitstests berechnet – einem integrierten Tool zur • Anzahl der als „nicht sicher“ eingestuften Seiten • durchschnittliche Qualität jedes Passworts
Bewertung von Passwörtern, das allen LastPass-Benutzern zur Verfügung steht. Im Falle von Geschäftskonten werden diese Daten (aufgrund von öffentlich bekanntgewordener • Qualität der freigegebenen Passwörter
auch an die LastPass-Administratoren zur Überprüfung der Passwortgewohnheiten auf Mitarbeiterebene weitergegeben. Der Datenschutzverletzungen) • Multifaktor-Authentifizierungswert
LastPass-Sicherheitswert wird anhand folgender Kriterien ermittelt:
Dieser Gesamtwert gibt Unternehmen nicht nur darüber Aufschluss, wie stark einzelne Passwörter sind, sondern auch, wie gut diese
lastpass.com Passwörter geschützt sind.26 ERGEBNIS-ANALYSE
DURCHSCHNITTLICHER SICHERHEITSWERT
NACH UNTERNEHMENSGRÖSSE
GRÖSSERE UNTERNEHMEN HABEN IHRE 2019 2018
SICHERHEITSWERTE STARK VERBESSERT
Da größere Unternehmen öfters eine Multifakor-Authentifizierung einsetzen, könnte 49
BENCHMARK-WERT 2019
dies ein Anhaltspunkt für den höheren LastPass Sicherheitswert sein. Eine andere
Mehr als 10.000
Interpretation dieser Ergebnisse ist, dass größere Unternehmen erfolgreicher darin
52
waren, das Passwortmanagement in ihre Mitarbeiter-Onboardingprozesse und
46
fortlaufenden Sicherheitsschulungen aufzunehmen. Das steigert nicht nur nachweislich
die Akzeptanz, sondern auch die Nutzung von wichtigen Funktionen, die ebenfalls 1.001–10.000
52
zu höheren Sicherheitswerten führt.
46
501–1.000
47
46
Unternehmen mit 1.000 oder mehr Mitarbeitern haben
101–500
mehrere Punkte im Sicherheitswert gewonnen.
50
47
2019 2018
26–100
52 46
49
48
0–25
49
50
lastpass.com27 ERGEBNIS-ANALYSE
DURCHSCHNITTLICHER SICHERHEITSWERT
NACH BRANCHE
2019 2018 49 DIE TECHNOLOGIE/SOFTWARE BRANCHE HAT IMMER
BENCHMARK-WERT 2019 NOCH DEN HÖCHSTEN SICHERHEITSWERT
Technologie/Software Bei der Betrachtung der Sicherheitswerte in verschiedenen Branchen sind die meisten
52
53 Durchschnittswerte im Vergleich zu 2018 relativ gleich geblieben. Die Technologie/
Banking/Finanzwesen Software Branche liegt weiterhin in Führung, während der Einzelhandel und das
49
49 Versicherungswesen noch immer niedrigere Sicherheitswerte aufweisen. Wie bereits
Gemeinnützige Organisationen erwähnt, führt eine höhere Anzahl an neuen Benutzern in den Branchen meist zu einer
48
50 Verringerung der Sicherheitswerte, besonders wenn die IT-Abteilungen Mitarbeiter
Telekommunikation
erst spät im Hinblick auf die Reduzierung wiederverwendeter Passwörter schulen.
48
49
Gesundheit
48
49
Medien/Werbung AM NIEDRIGSTEN AM HÖCHSTEN
48 2019 2019
49
Bildung
46 52
47
49
Rechtswesen
47
49
Einzelhandel Versicherung Technologie/Software
47
48
Fertigung
47
48
Behörden
46
49
Versicherung
46
47
lastpass.com28 ERGEBNIS-ANALYSE
DURCHSCHNITTLICHER SICHERHEITSWERT
NACH LAND 49
SPANIEN UND DIE NIEDERLANDE VERBESSERN IHRE 2019 2018 BENCHMARK-WERT 2019
SICHERHEITSWERTE
Niederlande 56
Letztes Jahr nahm Deutschland mit einem Sicherheitswert von 56 den ersten Platz ein. 55
Dieses Jahr stehen die Niederlande an erster Stelle mit einem Wert von 56, während 55
Deutschland 56
Deutschland mit 55 Punkten einen Punkt verloren hat. Spanien hat dieses Jahr mit
einem aktualisierten Sicherheitswert von 50 ebenfalls einen Punkt gewonnen. Bei den Schweden
53
54
meisten anderen Ländern sind die Sicherheitswerte relativ gleich geblieben.
52
Schweiz 54
52
Belgien 52
51
Frankreich 52
Vereinigtes 51
Königreich 52
Kanada 50
51
Italien 50
51
50
Spanien 49
Dänemark 49
49
48
Australien 49
48
USA 49
45
Neuseeland 49
lastpass.com29
GLOBALE
SICHERHEITSINITIATIVEN
UND -VORSCHRIFTEN
Auf der ganzen Welt wird der Passwortsicherheit ein höherer Stellenwert
eingeräumt.
lastpass.com30 GLOBALE SICHERHEITSINITIATIVEN UND -VORSCHRIFTEN
IN EINIGEN MÄRKTEN SIND STRENGERE
VORSCHRIFTEN EIN WICHTIGER GRUND FÜR
PASSWORTSICHERHEITSMASSNAHMEN
Man darf nicht vergessen, dass Sicherheitsinitiativen zu Passwörtern und Mitarbeiter-
zugriff nicht ohne Grund erfolgen. Ein wichtiger Faktor in einigen Märkten sind stren-
gere Regulierungen. Während globale Bedrohungen ansteigen und Bedenken hin-
sichtlich des Schutzes personenbezogener Daten zunehmen, setzen Regierungen
und Branchen mehr Vorschriften, Richtlinien und Vorgaben zum Schutz der digitalen
Wirtschaft durch.
Unternehmen, die einer Datenschutzverletzung unterliegen, werden auch lange,
nachdem sie aus den Schlagzeilen verschwinden, mit den Auswirkungen zu tun
haben. Der kürzlich erfolgte Equifax-Vergleich ist dafür ein erstklassiges Beispiel.
Zwei der bekannteren Vorschriften und Maßnahmen, die EU-Datenschutz-
Grundverordnung (DSGVO) und die NDB-Maßnahme in Australien, hatten
bereits beträchtliche Auswirkungen auf den Markt und spiegeln unter Umständen
einige der Trends aus diesem Bericht wider.
lastpass.com31 GLOBALE SICHERHEITSINITIATIVEN UND -VORSCHRIFTEN
DSGVO
Die Datenschutz-Grundverordnung (DSGVO) trat im Mai 2018 in Kraft. Gemäß Weitere Bußgelder bilden die Präzedenzfälle für eventuelle künftige Geldbußen.
DSGVO sind Datenschutzverletzungen nun meldepflichtig und können zu In Deutschland wurde beispielsweise eine Geldstrafe in Höhe von 20.000 €
Bußgeldern führen. Nachdem zu Beginn nur wenige Bußgelder verhängt wurden, (24.500 US$) an ein soziales Netzwerk verhängt, weil die unverschlüsselt
haben diese nun zugenommen, darunter: gespeicherten Passwörter der Benutzer durch eine Datenschutzverletzung offengelegt
wurden. Da es immer wieder zu Datenschutzverletzungen kommt, müssen Unter
• Bußgeld in Höhe von 50 Mio. € (55,5 Mio. US$) vom französischen
nehmen sorgfältiger mit Daten umgehen und genauer aufpassen, wie sie diese
Datenschutzbüro (CNIL) an Google verhängt, da das Unternehmen keine
speichern und schützen. Dazu gehört auch die Passwortsicherheit.
angemessene Zustimmung der Nutzer bei der Verarbeitung ihrer Daten zum
Zwecke der personalisierten Werbung eingeholt hatte. Auch wenn unsere Daten nur schwer direkt mit dem Einfluss der DSGVO verknüpft
• Bußgeld in Höhe von 99 Mio. Britische Pfund (121 Mio. US$) vom werden können, kann man die Nutzung der Multifaktor-Authentifizierung von
britischen Information’s Commissioners Office (ICO) an Marriott verhängt, LastPass-Kunden in den letzten 12 Monaten kaum ignorieren. In Dänemark,
nachdem die personenbezogenen Daten von etwa 339 Millionen Gästen der Schweiz, Frankreich und Deutschland ist die MFA-Nutzung exponentiell
offengelegt wurden. angestiegen, was nur positive Auswirkungen auf die Sicherheit der Unternehmen
• Bußgeld in Höhe von 18 Mio. Britische Pfund (22 Mio. US$) vom in diesen Ländern haben kann.
britischen Information’s Commissioners Office (ICO) an British Airways
verhängt, nachdem Besucher der Website der Fluggesellschaft zu einer
betrügerischen Seite umgeleitet wurden, wo die Besucher personen
bezogene Daten eingeben sollten.
lastpass.com32 GLOBALE SICHERHEITSINITIATIVEN UND -VORSCHRIFTEN
DIE NDB-MASSNAHME IN AUSTRALIEN
Im Februar 2018 hat das Office of the Australian Information Commissioner (OAIC) Obwohl die MFA-Nutzung ansteigt, kommt es laut dem Erkenntnisbericht im
die Notifiable Data Breach-(NDB-)Maßnahme eingeführt. Seit dem Wechsel Gesundheitssektor in Australien zu den meisten Datenschutzverletzungen.
von der freiwilligen zur obligatorischen Meldung ist die Zahl der gemeldeten Unseren Ergebnissen zufolge hat derselbe Sektor derzeit den zweitniedrigsten
Datenschutzverletzungen in nur einem Jahr um 712 % auf 964 gestiegen. MFA-Wert im Vergleich mit anderen Branchen. Offensichtlich sollte eine Investition
in MFA hohe Priorität für Organisationen im Gesundheitssektor haben.
Die australische Regierung gab in ihrem Erkenntnisbericht nach 12 Monaten6 an, dass
„kompromittierte oder gestohlene Zugangsdaten die Grundlage für die meisten Interessant ist auch, dass bei 28 % der im Erkenntnisbericht dokumentierten
Cybervorfälle, die zu Datenschutzverletzungen im ersten Jahr der NDB-Maßnahme Datenschutzverletzungen Zugangsdaten durch unbekannte Methoden abgerufen
geführt haben“, seien. wurden. Das weist darauf hin, dass Zugangsdaten-Stuffing mittlerweile eine wichtige
Zugriffsmethode für Cyberkriminelle ist.
Um das Risiko gestohlener Zugangsdaten zu reduzieren, empfiehlt der Bericht,
Mitarbeiter hinsichtlich Phishing-E-Mails und Passwortwiederverwendung zu schulen, Mehr Aktivitäten im Zusammenhang mit behördlichen Vorschriften und Richtlinien
Anti-Spoofing-Kontrollen und Multifaktor-Authentifizierung zu implementieren und haben für ein Cybersicherheitsklima gesorgt, in dem Unternehmen ein größeres
proaktive Sicherheitsmaßnahmen über Online-Services und Passwort-Manager zum Bewusstsein der Risiken von mangelhaftem Passwortverhalten und nicht reguliertem
Erkennen von Kompromittierung zu ergreifen. Mitarbeiterzugriff haben. Einige Märkte scheinen mehr in Lösungen wie Passwort
management und Single Sign-On zu investieren, die in Zukunft zu besseren Sicherheits
Auch wenn sich der Sicherheitswert für Australien kaum geändert hat, hat die
standards beitragen werden.
Nutzung von MFA unter LastPass-Benutzern dort erheblich zugenommen. Innerhalb
von 12 Monaten ist der MFA-Wert von 6 % auf 29 % gestiegen (siehe Abbildung
auf Seite 10). Das weist darauf hin, dass Maßnahmen ergriffen werden, um das Risiko
gestohlener Zugangsdaten zu reduzieren.
Der Erkenntnisbericht nach 12 Monaten (oder NDB-Bericht) wurde 2019 vom Office of the Australian Information Commissioner
6
(OAIC) zusammengestellt und enthält interessante und relevante Einblicke in das erste Jahr der Notifiable Data Breaches-Maßnahme
lastpass.com
(NDB-Maßnahme).33
VERBESSERN SIE IHREN
SICHERHEITSWERT IN
SECHS SCHRITTEN
Ändern Sie den Status quo und beseitigen Sie passwortbezogene Risiken.
lastpass.com34
HÖHERE SICHERHEITSWERTE ERFORDERN SORGFÄLTIGE
PLANUNG UND KONSEQUENTE BEMÜHUNGEN
Wenn Sie die Passwort- und Zugriffssicherheit verbessern möchten, müssen Sie in eine
Zugriffslösung investieren, die Single Sign-On mit einem Passwort-Managementsystem
und Multifaktor-Authentifizierung kombiniert. Einfach eine Lösung zu kaufen und den
Mitarbeitern zur Verfügung zu stellen, garantiert aber nicht, dass Sie die Passwort
sicherheit in Ihrem Unternehmen verbessern oder einen hohen Sicherheitswert erreichen.
Um den Status quo zu ändern und passwortbezogene Risiken zu beseitigen, müssen
Unternehmen:
1. Die Zugriffssicherheit als hohe Priorität 4. Mitarbeiter wiederholt ausführlich schulen
betrachten
2. Einen Plan aufstellen 5. Multifaktor-Authentifizierung einsetzen
3. Die Nutzung eines Passwort-Managers 6. Regelmäßig den Sicherheitswert prüfen
anordnen und optimieren
lastpass.com35
Nr. 1
DIE ZUGRIFFSSICHERHEIT ALS HOHE PRIORITÄT BETRACHTEN
Sie wissen, wie wichtig gesicherter Mitarbeiter Sie können erst dann Fortschritte machen, wenn
zugriff ist und wie wertvoll eine Zugriffslösung Ihr Unternehmen sich ernsthaft dafür einsetzt, die
ist. Zu häufig wird die Passwortsicherheit in Unter Risiken der Zugriffssicherheit zu beseitigen.
nehmen aber komplett ignoriert oder nur halb-
herzig umgesetzt. Da 80 % der Datenschutz
verletzungen immer noch im Zusammenhang mit
80
Passwörtern auftreten7, ist eine Investition in Single von Datenschutz
Sign-On und Enterprise-Passwortmanagement % verletzungen treten im
Zusammenhang mit
eine der effektivsten Möglichkeiten, Risiken für das Passwörtern auf.
ganze Unternehmen zu reduzieren.
7
Data Breach Investigations Report 2019
https://enterprise.verizon.com/resources/reports/dbir/
lastpass.com36
Nr. 2
EINEN PLAN AUFSTELLEN
Überlegen Sie genau, welche Probleme Sie Stellen Sie sicher, dass Schulungen für eine
lösen möchten, welche Anwendungsfälle Sie Zugriffslösung, inklusive SSO- und Enterprise
unterstützten möchten und welche Funktionen Passwort-Management-Funktionen, Teil
Sie benötigen, damit Sie eine fundierte des Onboardingverfahrensprozesses für
Kaufentscheidung für die richtige Lösung neue Mitarbeiter und der fortlaufenden
treffen. Ermitteln Sie die Voraussetzungen Sicherheitsschulungsprogramme sind.
für die Konfiguration und Bereitstellung der
Lösung. Stellen Sie einen detaillierten Plan
zum Onboarding von Mitarbeitern auf, und
sprechen Sie Mitarbeiter proaktiv an, die die
Lösung nur selten verwenden.
lastpass.com37
Nr. 3
DIE NUTZUNG EINES PASSWORT-MANAGERS ANORDNEN
Wir hören von vielen Unternehmen, dass Sie sich Wenn Sie Ihr Unternehmen proaktiv schützen und
zwar einen Passwort-Manager wünschen, dessen die Nutzung stärkerer Passwörter durchsetzen
Nutzung aber ihren Mitarbeitern freistellen. Leider möchten, sollten Sie unbedingt vorschreiben, dass
setzen die meisten Mitarbeiter einen neuen Prozess ein Passwort-Manager zum Speichern, Generieren
erst um, wenn er erforderlich ist, und suchen erst und Freigeben von Passwörtern genutzt werden
dann eine Lösung, wenn die Probleme groß genug muss.
werden.
Solange die Passwortverwaltung optional bleibt, können Sie keine erheblichen Verbesserungen in
Ihrer Passwortsicherheit erwarten.
lastpass.com38
Nr. 4
MITARBEITER WIEDERHOLT AUSFÜHRLICH SCHULEN
Schulungen müssen nicht nur Teil Ihres Mitarbeiter sollten auch wissen, wie sie ihre
vorgesehenen Onboarding-Plans sein, sondern eigenen Sicherheitswerte prüfen und inwieweit
auch eine fortlaufende Bemühung, um die ihre Aktionen zur Gesamtsicherheit des Unter
Akzeptanz und Nutzung von Sicherheitstools nehmens beitragen. Mitarbeiterschulungen
zu fördern. Mitarbeiter müssen nachvollziehen können Zeit und Ressourcen in Anspruch
können, warum und wie sie das Tool verwenden nehmen, lohnen sich aber auf jeden Fall, wenn
sollten. Sie müssen wissen, wie sie neue Passwörter Sie die angestrebten Sicherheitswerte erreichen.
erstellen und schwache oder wiederholt
verwendete Passwörter ersetzen.
lastpass.com39
Nr. 5
MULTIFAKTOR-AUTHENTIFIZIERUNG EINSETZEN
Wenn Sie Ihre Zugriffslösung durch Multifaktor- Manager durchzusetzen. Wenn das nicht
Authentifizierung ergänzen, sorgen Sie für eine möglich ist, sollten Sie Mitarbeiter speziell
zusätzliche Schutzschicht vor mangelhaften hinsichtlich der Vorteile und der Nutzung von
Passwörtern. Darüber hinaus steigen Sicherheits MFA schulen und ihnen ermöglichen, sie selbst
werte mit MFA umgehend. Wie bereits erwähnt zu aktivieren. Am besten gehen Sie aber noch
nutzen viele Mitarbeiter schon MFA, und in einen Schritt weiter und investieren in eine
einigen Unternehmen wird sie sogar über MFA-Lösung, die die Vorteile von MFA in alle
Richtlinien vorgeschrieben. Wir empfehlen Zugriffspunkte des Unternehmens und nicht nur
Administratoren dringend, die Nutzung von den Passwort-Vault integriert.
MFA per Richtlinien in einem Enterprise-Passwort-
lastpass.com40
Nr. 6
REGELMÄSSIG DEN SICHERHEITSWERT PRÜFEN
UND OPTIMIEREN
Merken Sie sich Ihren initialen Sicherheitswert, Wir alle wünschen uns eine Zugriffslösung, die
wenn Sie eine Zugriffslösung wie LastPass zum alle Ihre Sicherheitsprobleme lösen kann, ohne
ersten Mal bereitstellen. Indem Sie Ihre Werte dass Sie eingreifen müssen. In der Realität muss
regelmäßig prüfen, können Sie entstehende sie aber ein bewusster Bestandteil Ihrer konti
Trends ermitteln. Sie könnten z. B. ein kleines nuierlichen Sicherheitsstrategie sein, in die Sie
Team aufstellen, das den Implementierungs regelmäßig Zeit und Ressourcen investieren. Der
erfolg beurteilen und an der Verbesserung der Aufwand muss nicht groß, aber konsistent sein.
Sicherheitswerte arbeiten soll. Identifizieren Sie
Mitarbeiter mit niedrigen Werten, die wiederholt
geschult werden müssen.
lastpass.com41
WEITERE INFORMATIONEN
ZU LASTPASS IDENTITY
Mit LastPass Identity überblicken und kontrollieren Sie alle Punkte, über die auf
Anwendungen und Daten in Ihrem Unternehmen zugegriffen werden kann. Sie
können damit intuitiven Zugriff und Multifaktor-Authentifizierung für alle Systeme
bieten: Cloud-Anwendungen, lokale Installationen und mobile Apps. Von Single
Sign-On über die Passwortverwaltung bis hin zur Multifaktor-Authentifizierung gibt
LastPass Identity Ihrem IT-Team die volle Kontrolle und ermöglicht Ihren Benutzern
einen reibungslosen Zugriff.
• Zentrale Steuerung durch Administratoren
• Mehr als 1.200 Single Sign-On-Anwendungen
• Branchenführender Passwort-Manager für Unternehmen
• Mehr als 100 Zugriffssicherheitsrichtlinien
• Erweiterte Berichterstattung
• Sichere Freigabe von Passwörtern
• Integration von Benutzerverzeichnissen
• Adaptive Multifaktor-Authentifizierung
• Benutzerfreundliche Lösung
lastpass.com42
www.lastpass.com/de/products/identity
lastpass.comSie können auch lesen
