Interview mit Thomas Malchar zur IT-Sicherheit 2019

Herr Malchar, Anfang des Jahres hat uns wieder einmal ein Datendiebstahl erschüttert, allerdings von neuem gigantischem Ausmaß: 773 Millionen E-Mail-Adressen und 21 Millionen Passwörter wurden unter dem Titel Collection#1 gehackt. Wie schätzen Sie die Ursachen dieser aktuellen Bedrohungslage ein?

Klar ist: Die Zahl und Komplexität der Internetkriminalität und Hackerangriffe haben in den letzten Jahren deutlich zugenommen. Dabei sind die Gefahren so vielseitig wie zahlreich und reichen von potentiellen Sicherheitslücken durch Cloud Computing und dem Konzept der Mobile Workforce über Social Engineering bis hin zum Klassiker von zu schwachen Passwörtern.

Unternehmen wie auch Privatpersonen bieten dabei immer noch zu viele Schwachstellen, die es den Angreifern oft fast schon erschreckend leicht machen, Zugang zu sensiblen Daten zu erhalten. Gerade bei Collection#1 konnten so viele Passwörter im Klartext aufgedeckt werden, weil viele Nutzer immer noch dieselben Kombinationen von E-Mail-Adressen und Passwörtern bei mehreren Diensten verwenden.

Die Gefährdungslage für digitale Daten hat auch dem BSI zufolge einen neuen Hochstand erreicht ( Vgl. BSI Lagebericht 2018). Welche Rolle spielt dabei das Nutzerverhalten?

Die Sicherheitsanforderungen an den Benutzer sind nicht mehr die gleichen: Die Anzahl an Websites, Apps und dadurch Zugängen und Konten pro Benutzer steigt immer weiter an. Diese sicher zu verwalten, stellt schon fast eine Mammutaufgabe für den Einzelnen dar.

Da die Anforderungen an ein starkes Passwort steigen, merken sich Benutzer nur noch ein bis drei Passwörter und verwenden diese für mehrere Anwendungen. Oder sie greifen auf Excel-Listen, Post-ist und Co. zurück anstatt einen Password Manager zu nutzen. Dies kann verschiedene Gründe haben wie Unwissenheit, aber auch leider Faulheit oder ein Mangel an Alternativen. Das beliebteste Passwort 2018 war übrigens mal wieder „123456“.

Welche Fehler begehen Unternehmen im Umgang mit IT-Sicherheit?

Im digitalen Zeitalter möchten Unternehmen ihren Angestellten und Geschäftspartnern den Datenzugriff so einfach wie möglich gestalten. Dafür werden oft lieber Sicherheitslücken in Kauf genommen als sich mit komplexer Software oder Mitarbeiterbeschwerden auseinanderzusetzen. Oft wird auch der Fehler begangen, anstelle eines ganzheitlichen Sicherheitskonzeptes verschiedene Dienste zu kombinieren und dadurch die Sicherheitslage unnötig zu verkomplizieren.

Des weiteren werden Mitarbeiter nicht hinreichend in die neue Systemlandschaft eingewiesen oder gar integriert. Das Ergebnis dieses Verhaltens lässt sich in Zahlen messen: Die geschätzten Kosten, die 2018 durch Cybercrime-Vorfälle auf Unternehmen entstanden sind, haben sich im Vergleich zum Vorjahr allein in den USA von 20 auf über 27 Millionen US Dollar erhöht (Vgl. Statista, Umfrage 2018).

Was würden Sie Unternehmen raten?

Die Lösung ist, eine zentrale Plattform zur Authentifizierung zur Verfügung zu stellen, die alle Konten und Zugriffe flexibel verwaltet und über die unterschiedliche Methoden kombiniert werden können. Das beste Tool nützt Unternehmen zudem wenig, wenn es nicht einheitlich genutzt wird. Denn effektives Password Management bedeutet, allen Mitarbeitern abteilungsübergreifend ein System zur Verfügung zu stellen, bei dem Sicherheit und Benutzerfreundlichkeit Hand in Hand gehen.

Password Safe fungiert schon seit über 20 Jahren für unsere Kunden als Vertrauensstelle, an der alle Prozesse sicher und kontrolliert zusammenlaufen. Um wirklich jeden Mitarbeiter an Bord zu holen und sicher in die IT-Infrastruktur von Password Safe einzubinden, bieten wir seit Version 8.7 zudem den LightClient für jeden Enduser an.

Sicherheitslücke Mensch: Inwiefern stellen die eigenen Mitarbeiter ein Risiko für Unternehmen dar?

Der Mensch ist immer noch der größte Sicherheitsfaktor in Unternehmen. Denkt man an Datendiebstahl, erscheint meist schon das Bild eines Hackers vor dem inneren Auge. Tatsächlich lauert die größte Gefahr für Datenklau in den eigenen Reihen bei den Mitarbeitern. Angestellte, die Geld für die Weitergabe von Firmendaten erhalten oder dem Unternehmen willentlich schaden wollen, weil sie zum Beispiel gekündigt wurden, stellen ein erhebliches Firmenrisiko dar. Deshalb schützt Password Safe zum Beispiel privilegierte Zugänge durch Mehr-Augen-Prinzip und protokolliert alle Vorgänge.

Lassen Sie uns zum World Password Day über die Zukunft des Passworts sprechen. Wie wird sich das klassische Password Management entwickeln?

Lediglich der Benutzername und das Passwort als Anmeldeschutz sind nicht länger ausreichend, um Benutzerkonten vor unerlaubtem Zugriff zu schützen. Die nächste Stufe der Identifikation bei Password Safe wird deshalb die passwortlose Authentifizierung mit Diensten wie SAML, die wir unter anderem in den LightClient integrieren werden.

Auch ein zweiter Faktor zur zusätzlichen Benutzeridentifikation wird im Password Management immer essentieller. Möglichkeiten zur Multi-Faktor-Authentifizierung wie USB-Sticks, biometrische Verfahren oder PINs gibt es wie Sand am Meer. Um unsere Dienste abzusichern, setzen wir deshalb zusätzlich auf die Multi-Faktor-Authentifizierung über Sicherheitsdienste wie den Google Authenticator, die RADIUS-Schnittstelle oder Yubico.

Zu guter Letzt: Wie passt sich Password Safe der wachsenden Sicherheitsbedrohungen an?

Password Safe verfügt aufgrund unserer technisch sehr tiefgehenden Expertise über die notwendigen Funktionalitäten, um eine dynamische sicherheitstechnische Lösung zu bieten, die Unternehmen verschiedener Größenordnungen gerecht wird. Denn was unsere Software besonders macht, ist die Vielzahl an Funktionalitäten. So lässt sich Password Safe in vier erhältlichen Editionen auf jedes Unternehmen maßschneidern – und das branchenunabhängig vom Start-up bis zum Großkonzern.