IT-Sicherheit – Zugriffsrechte

08 Nov IT-Sicherheit – Zugriffsrechte

Liebe Kund:innen,

in loser Regelmäßigkeit stoßen User im Zuge der Arbeit mit lang etablierten lokalen Ablagestrukturen und modernen Cloud-Umgebungen auf Fragen der Zugriffsverwaltung (Access Management). Diese Fragen können praktischer Natur sein, z.B. wenn der eigene Zugriff verwehrt wird, oder auf theoretischer Ebene stattfinden, z.B. wenn der eigene IT-Dienstleister Zugriffsdefinitionen von Ihnen einfordert.

Wir möchten in das teilweise stiefmütterlich behandelte Thema des Access Managements etwas Licht bringen und vor allem seine Relevanz aufzeigen. Der erste Schritt hin zu einem soliden Access Management ist immer der Schutz der User-Accounts – das wird durch die Vergabe von starken Passwörtern und die Nutzung von Multi-Faktor-Authentifizierung (MFA) ermöglicht.

Jede physische Arbeitsumgebung verfügt über Maßnahmen, die vor Schäden durch Unbefugte schützen sollen. Egal ob es sich um Zugangskarten oder Schlüssel handelt, es wird auch immer darauf geachtet, dass das Medium, das Befugten den Zugang gewährt, nicht öffentlich zugänglich ist, im Idealfall sogar, dass es eindeutig identifiziert werden kann, um bei Verlust oder Angestelltenwechsel reagieren zu können.

Auch digitale Strukturen bedürfen einer entsprechenden Abschottung vor Zugriffen nach außen. Die Nutzung und der Umgang mit der schließlich gewählten Methode unterscheidet sich dabei oft nicht von physischen Zugangsbeschränkungen. Wer seinen Schlüssel zum Firmenwagen nicht im Büroflur aushängen möchte, der sollte auch seine Passwörter nicht auf einem Post-It am Bildschirm aufbewahren. Wem es wichtig ist, dass die Kombination zum Schlüsseltresor des Unternehmens nicht „0000“ ist, der sollte ebenso vermeiden für jeden Onlinedienst identische Passwörter für immer den selben Usernamen zu vergeben.

Was humorvoll anmutet, kann schnell ernsthafte Konsequenzen haben. 2023 waren laut Hasso-Plattner-Institut (HPI) die Spitzenreiter der beliebtesten Passwörter konsekutive Zahlenreihen wie „123456789“ – die Ausnahme von der Regel war mit „hallo“ auf Platz 3 ebenso unsicher. Beliebte Passwörter lassen sich mit Leichtigkeit in einschlägigen Foren finden und ist der Username erst einmal bekannt, dann ist es schließlich nur noch eine Frage der Zeit, bis der eigene Account für Unbefugte zugänglich ist. Die Nutzung von starken Passwörtern, die regelmäßige Aktualisierung dieser und die Vergabe unikater Passwörter pro Dienst können bspw. durch die Nutzung von Passworttresoren unterstützt werden.

Auch bei starken Passwörtern gibt es jedoch eine menschliche Komponente, die dazu beitragen kann, dass Accounts unsicher werden. Die berüchtigte Methode des Phishings ist immer noch relativ weit verbreitet, schlicht weil sie ausreichend häufig zum Erfolg führt. Da es relevanter wird die Sicherheitskomponenten von User-Accounts neu zu denken, genießen Multi-Faktor-Authentifizierungen (MFA) wachsendes Interesse. Dabei wird neben dem ersten Faktor (Passwort) ein zweiter Faktor, bspw. in Form einer App-Bestätigung oder eines Anrufs angeboten.

Die schlichte Vorgabe, neben einem Usernamen und Passwort noch eine gesondert abgefragte Bestätigung einzufordern, sorgt laut Microsoft innerhalb der Microsoft 365 Umgebung dafür, über 99,9% der Angriffsversuche umgehend geblockt werden. Dieser zweite Faktor ist dabei kein Ersatz oder parallel zum ersten Faktor geschaltet, sondern folgt ausschließlich der Passworteingabe. Nur wer also Username und Passwort kennt, der kann eine MFA-Bestätigung anfordern. Und ist das Gerät, auf dem die MFA-Anfrage eingeht nicht der Öffentlichkeit zugänglich, dann versandet der größte Teil der Angriffsversuche.

Aus diesen Gründen möchten wir Sie unterstützen, damit Sie sich künftig sicherer durch die digitale Welt. Sollten Sie Fragen zu den oben genannten Punkten haben oder Unterstützung bei der Umsetzung von sicherheitsrelevanten Vorhaben benötigen, dann wenden Sie sich gerne an uns unter support@bmsoft.de.