Mehr Sicherheit bei der Passwort-Verwaltung

5 Herausforderungen im Bereich Identitätsmanagement

23.12.2019
Von 
Gerald Beuchelt ist Chief Information Security Officer bei LogMeIn.
Rund 90 Prozent der Unternehmen kämpfen mit Problemen beim Identitätsmanagement. Die größte Herausforderung für IT-Teams stellt dabei die Balance zwischen Benutzerfreundlichkeit und Sicherheit dar. Ziehen IT und die Mitarbeiter nicht am selben Strang, steigt das Risiko von Datenverletzungen.

Die Unternehmenslandschaft verändert sich: Mitarbeiter bestimmen, wo und wie sie arbeiten wollen und erwarten, dass sie jederzeit und von jedem Gerät aus Zugriff auf die benötigten Tools haben. Deshalb stehen IT-Teams mehr denn je vor der Herausforderung, Remote-Mitarbeiter zu verwalten, Benutzerzugriff zu vergeben und Unternehmensdaten zu schützen.

Mit dem Passwort-Manager "LastPass" können Mittelständler ihr Identitätsmanagement in die Cloud verlagern.
Mit dem Passwort-Manager "LastPass" können Mittelständler ihr Identitätsmanagement in die Cloud verlagern.
Foto: LogMeIn

Um weiterhin die Sicherheit der Unternehmensdaten zu garantieren, muss das IT-Team die Kontrolle über jeden Zugangspunkt im Unternehmen übernehmen. Das geht nur über benutzerfreundliche Tools und die Aufklärung der Mitarbeiter. Mit Hilfe von Management und der Personalabteilung muss die IT-Abteilung es schaffen, das Bewusstsein für die Sicherheit hoch zu halten, damit die Einführung einer Identitätslösung Erfolg hat. Damit lassen sich letztendlich die fünf Identitätsherausforderungen für die IT-Teams in den Griff bekommen.

Herausforderung 1: Zeitintensive und risikobehaftete Verwaltung einer digitalen Belegschaft

Da Millenials einen größeren Teil der Belegschaft ausmachen, ist die Fluktuationsrate in den Unternehmen gestiegen. Die IT muss also immer wieder zusätzliche Zeit in die technische Einrichtung neuer Arbeitsplätze investieren. Das enthält auch das Zugriffsmanagement auf die Anwendungen. Dabei muss die interne IT-Abteilung oder der externe IT-Dienstleister sicherstellen, dass der Zugriff von Anfang an sicher zu kontrollieren und zu verwalten ist.

Lesetipp: Cloud-basiertes Identitätsmanagement für Mittelständler

Mitarbeiter machen sich keine Gedanken über die Schwierigkeit eines solch sicheren Identitäts- und Zugriffsmanagements. Sie sehen nur die Vorteile der digitalen Gesellschaft, immer und von überall Zugriff auf ihre Anwendungen und Geräte zu haben. Die IT-Abteilung dagegen muss einen Weg finden, um festzustellen, wer auf welche Daten, auf welches Gerät, auf welches Netzwerk zugreift. Jeder neue Touchpoint erhöht das Sicherheitsrisiko des Unternehmens, insbesondere bei Anwendungen von Drittanbietern, die nicht von der IT genehmigt oder eingerichtet wurden. Eine zusätzliche Herausforderung ist es, den Zugriff sicher zu verwalten.

Herausforderung 2: Abwägen zwischen Benutzerfreundlichkeit und Sicherheit

Wenn es um die Verwaltung von Identitäten geht, spielen zwei Elemente eine Rolle. Der Fokus der IT-Teams liegt auf der Sicherung von Daten und dem Schutz des Unternehmens vor Datenverstößen. Auf der anderen Seite wollen die Mitarbeiter ihre Arbeit schnell und einfach erledigen ohne komplizierte Authentifizierungsprozesse.

Lesetipp: LogMeIn startet im Channel durch

Die Identitätstechnologie muss also jede Benutzeridentität so verwalten, dass sie den Anforderungen an Sicherheit und Benutzerfreundlichkeit entspricht. Komplexe Authentifizierungsprozesse schrecken Mitarbeiter ab. Sie wünschen sich einen einfachen und schnellen Zugang, um ihre Aufgaben zu erledigen. Die Sicherheit bei einem unkomplizierten Access muss aber weiterhin gewährleistet bleiben.

Eine hohe Komplexität würde sich negativ auf deren Produktivität auswirken. Während eine reduzierte Sicherheit das Unternehmen für das Risiko von Verletzungen und Insiderbedrohungen öffnet.

Die Benutzerfreundlichkeit ist besonders wichtig und treibt sogar entscheidende Geschäftsentscheidungen voran - wenn ein Produkt nicht den Standards eines Endverbrauchers entspricht, wird es nicht verwendet.

Herausforderung 3: Priorisieren von Passwörtern

Kontosperrungen, erzwungene Passwort-Rücksetzungen und regelmäßige Passwort-Rotation - der frustrierende Umgang mit Passwörtern liegt auf Rekordniveau. Eine aktuelle Umfrage, die wir gemeinsam mit Vanson Bourne unter 700 IT-Experten durchgeführt haben, hat ergeben, dass IT-Teams im Durchschnitt vier Stunden pro Woche allein für Fragen des Passwortmanagements aufwenden und 96 passwortbezogene Anfragen pro Monat erhalten.

Lesetipp: Datensicherheit ist kein Zufall

Zu diesem unnötigen Verbrauch an IT-Ressourcen kommen noch die schlechten Praktiken der Mitarbeiter hinzu: Sie greifen immer wieder auf dieselben Passwörter zurück, dokumentieren die Passwörter in einer Liste oder einer Haftnotiz am Telefon, versenden ihre Passwörter per E-Mail oder teilen diese sogar. Dabei sollte bekannt sein, dass jedes schwache oder gemeinsam genutzte Passwort ein Risiko für das Unternehmen darstellt; es kann zu einem Datenverstoß und zum Verlust von Unternehmensdaten führen.

Herausforderung 4: Schließen von Technologielücken

Da immer mehr Mitarbeiter neue Tools an den Arbeitsplatz bringen oder sich aus der Cloud besorgen und selbst installieren, kann die IT-Abteilung unter Umständen bei kritischen Anwendungen, die ganze Teams zur Verwaltung von Unternehmensdaten verwenden, aus dem Spiel geraten. Das erschwert der IT-Abteilung zu erfahren, welche Anwendungen innerhalb des Unternehmens verwendet werden, obwohl sie die darin enthaltenen Unternehmensdaten zu schützen hat. Die Verwaltung und Sicherung all dieser Anwendungen werden also immer komplexer und zeitaufwendiger.

Ein ganzheitliches Sicherheitssystem einzurichten und erfolgreich zu erhalten, ist jedoch nur mit der richtigen Identitätslösung möglich. Anstatt in mehrere Tools zu investieren, die verschiedene Aspekte des Identitäts- und Zugriffsmanagements abdecken, sollten Unternehmen sich für eine Gesamtlösung entscheiden. Das kommt sowohl der IT-Abteilung zugute, die nur ein Tool implementieren und verwalten muss als auch der allgemeinen Sicherheit des Unternehmens. 93 Prozent der von uns befragten IT-Spezialisten stimmen diesem Sicherheitsaspekt zu.

Herausforderung 5: Die Kosten für Anwendungen und Dienste

Wenn Budgets und Mitarbeiterressourcen knapp sind, ist es nicht immer einfach, die Investition in zusätzliche Sicherheitstools zu rechtfertigen. IT-Teams fühlen sich unter Druck gesetzt, die kostengünstigste Lösung zu finden, die sowohl die Benutzerfreundlichkeit als auch die Sicherheit optimiert, ohne zu viele Ressourcen zu verbrauchen.

Nicht in Sicherheit zu investieren, ist keine Option, denn die Kosten und der Imageverlust für ein Unternehmen, das beispielsweise gehackt wird, ist um ein Vielfaches höher als die Investition in eine umfassende Identitätslösung. Allein in den USA beliefen sich die durchschnittlichen Gesamtkosten gehackter Unternehmen 2018 auf fast acht Millionen Dollar.

So übernehmen die IT-Teams wieder die Kontrolle über die Sicherheit ihres Unternehmens

Bevor die IT-Abteilung mit der Verwaltung der Identitäten beginnen kann, sollte sie klar festlegen, welche Aufgaben eine Identitätslösung erfüllen muss, um Sicherheit und Benutzerfreundlichkeit abzubilden. Sie sollte dabei ein Abgleich zwischen den Sicherheitszielen und den Anforderungen der Mitarbeiter vornehmen. Eine Identitätslösung ist aber auch immer eine Unternehmensentscheidung, die im großen Kreis besprochen und entschieden werden sollte - auf Basis des von der IT-Abteilung oder der Geschäftsführung erstellten Anforderungskatalogs.

Lesetipp: Bessere Sicherheitskultur mit Passwortmanagern

In der Praxis haben sich sogenannte User-Akzeptanz-Tests durchgesetzt: Das Unternehmen bildet unter der Leitung der IT-Abteilung eine Fokusgruppe aus Mitarbeitern der verschiedenen Fachbereiche, um die ausgewählte Identitätslösung auf ihre Benutzerfreundlichkeit zu prüfen. Denn steigt die Akzeptanz der Mitarbeiter in die Lösung, steigt automatisch die Nutzung und damit das Sicherheitsniveau im Unternehmen.