News und Produkte
Studie zur Passwort-Sicherheit
Yubico hat Ende Februar die Ergebnisse des zweiten jährlich erscheinenden State of Password and Authentication Security Behaviors Report bekannt gegeben. Die Untersuchung wurde vom Ponemon-Institute durchgeführt und umfasst Angaben von rund 2500 IT- und IT-Security-Befragten aus Australien, Frankreich, Deutschland, Schweden, Großbritannien und den USA (davon rund die Hälfte als CIO oder CISO tätig) sowie 563 Einzelanwendern dieser Länder – die Zahl der befragten IT-Security-Mitarbeiter in Deutschland lag bei 423.
Yubicos Fazit lautet, dass sowohl IT-Sicherheitsfachleute als auch Einzelpersonen ein riskantes Verhalten in Bezug auf Passwörter und Authentifizierung an den Tag legen, wobei Erwartung und Realität bei der Einführung von praktikablen und wünschenswerten Sicherheitslösungen oft auseinandergehen. Gerade die zunehmende mobile Nutzung, wo Passwörter besonders umständlich handzuhaben sind, führt zu neuen Herausforderungen in Bezug auf die IT-Sicherheit – die von Betrieben eingesetzten Sicherheits-Tools und Prozesse werden der Studie zufolge von Mitarbeitern und Kunden nicht weitreichend angenommen.
Immerhin haben 49 % der befragten Einzelanwender angegeben, dass sie die Sicherheit ihrer Konten verbessern möchten und bereits zusätzliche Schutzebenen über einen Benutzernamen und ein Passwort hinaus eingeführt haben. Allerdings würden 56 % nur neue Verfahren einsetzen, die einfach zu benutzen sind und die Sicherheit ihrer Konten deutlich verbessern – dort werde die Nutzung von Biometrie, Sicherheits-Keys und passwortfreier Anmeldung bevorzugt, folgert Yubico. Und immerhin 45 % antworteten, dass sie keine nennenswerte Zeit zur Sicherung ihrer Konten aufwenden würden, da es ja ohnehin nur eine Frage der Zeit sei, bis man gehackt werde.
Positiv erscheint, dass von den Einzelanwendern 61 % angaben, nunmehr stärkere Passwörter als früher zu verwenden – 36 % sagten, sie würden für so viele Accounts wie möglich eindeutige Passwörter nutzen, 35 % setzen (wo möglich) auf Zwei- oder Multi-Faktor-Authentifizierung und 29 % verwenden einen Passwort-Manager. Auf der anderen Seite haben sowohl 54 % der befragten Einzelanwender als auch 50 % der Befragten aus der IT-Security angegeben, dieselben Passwörter in verschiedenen persönlichen Accounts zu verwenden – im Durchschnitt waren davon bei beiden Gruppen zehn Konten betroffen. Erschreckend ist, dass sogar bei den Antwortenden aus dem IT-Security-Umfeld die Hälfte zugab, persönliche oder geschäftliche Passwörter auch im Arbeitsumfeld mehrfach zu verwenden – im Durchschnitt waren 12 von 16 beruflichen Accounts betroffen. Auch das Teilen von Passwörtern mit anderen Mitarbeitern ist der Studie zufolge weiterhin üblich: Nur gut ein Drittel der befragten IT-Security-Mitarbeiter und Einzelanwender sagte, dass das niemals vorkäme – bei etwa einem Sechstel war das sogar häufig der Fall, rund die Hälfte antwortete, das käme manchmal oder selten vor.
In der weltweiten Auswertung der Studie vertrauen 59 % der befragten Organisationen den Antworten aus dem IT-Security-Umfeld zur Verwaltung und dem Schutz von Passwörtern auf das menschliche Gedächtnis, bei 42 % sind Klebezettel im Einsatz, 36 % nutzen Browser-Erweiterungen, 31 % Passwort-Manager und 29 % Tabellenkalkulationen – die Angaben der Einzelanwender wichen hiervon nur um jeweils 1–3 Prozentpunkte ab, wobei 30 % sagten, es gebe keine definierten Prozesse zur Passwortverwaltung (Mehrfachantworten). Die Grafik auf Seite 76 gibt die Lage der befragten IT-Fachleute in Deutschland wieder, die sich zwar etwas besser, aber wohl kaum als ideal darstellt.
Der vollständige Bericht ist als 62-seitiges PDF in englischer Sprache über https://yubico.com/authentication-report-2020 kostenlos verfügbar (Registrierung erforderlich). (www.yubico.com)
Abbildung 1
Stressfaktoren und Motivation für Security-Professionals
Steigende Compliance-Anforderungen und die wachsende Zahl an Regulierungen stellen einer von Thycotic beauftragten Umfrage zufolge den größten Stressfaktor für Security-Experten dar. So haben 42 % der befragten IT-Sicherheitsverantwortlichen zugestimmt, dass die Notwendigkeit, immer mehr Richtlinien erfüllen zu müssen, ihren Stress erhöht. Ein Drittel beklagte darüber hinaus lange Arbeitszeiten und die Unvermeidlichkeit von Überstunden.
Dies stellt die Unternehmen vor große Herausforderungen in Sachen Mitarbeiterbindung: Wie die Befragung von 555 Sicherheitsentscheidern aus den USA (203), UK (102), Deutschland und Australien (je 100) sowie Neuseeland (50) zeigt, zählt unter anderem Burnout aufgrund übermäßiger Arbeitsbelastung (45 %) zu den größten Hürden beim Halten von Mitarbeitern. Aber auch Faktoren wie das Fehlen klarer Karriereziele und mangelnde Aufstiegsmöglichkeiten (37 %) sowie mangelnde Unterstützung durch Führungskräfte bei der Schulung, Beurteilung und Entwicklung von Mitarbeitern (40 %) verstärken an dieser Stelle den Fachkräftemangel.
Gefragt nach der Motivation für ihren Job und den Gründen, die sie vor allem jeden Tag ins Büro gehen lassen, nannten mehr als Dreiviertel der Security-Experten ihre Bedeutung und Verantwortlichkeit für die Cybersicherheit ihres Unternehmens. So sehen sich 29 % als „Business-Bodyguard“, 25 % als „Hüter der Ethik“, der eine entscheidende Rolle beim Schutz der Datenintegrität sowie der Privatsphäre von Kunden und Mitarbeitern spielt, und 23 % nennen sich selbst einen „Rätselmeister“, der intellektuelle Herausforderungen im Kampf gegen Cyberangreifer löst. Nur 3 % gaben an, dass es ihnen üblicherweise schwerfällt, sich für den Gang zur Arbeit zu motivieren.
Der Hauptantrieb für den eigenen Job ist für knapp ein Viertel der Befragten „Spaß an der Arbeit“, für 21 % steht der Unterhalt ihrer Familie im Mittelpunkt, 18 % sehen in der Arbeit einen Weg, ihrem Leben einen Sinn zu geben. 14 % schätzen es, neue Dinge lernen zu können, und 13 % motivieren sich vor allem mit der Bezahlung und dem damit verbundenen Luxus, sich Dinge kaufen zu können. Jeder zehnte Befragte sieht sich als „Gadget Nerd“, dem sein Beruf ermöglicht, ständig mit „neuem Spielzeug“ umzugehen.
„CISOs und Security-Professionals haben heutzutage einen der anspruchsvollsten und dynamischsten Jobs überhaupt und unsere Studie zeigt, dass sich der Großteil von ihnen wünscht, die Wertschätzung und Aufmerksamkeit von ihrem Unternehmen zu erfahren, die sie verdienen“, kommentierte Joseph Carson, Chief Security Scientist und Advisory CISO bei Thycotic. Ständig im Dienst zu sein, alle Unternehmens-Assets fortlaufend schützen zu müssen, den Rest des Unternehmens zu schulen und gleichzeitig in Sachen neueste Compliance-Mandate und Vorschriften den Finger am Puls der Zeit zu halten, fordere jedoch seinen Tribut. „So ist es nicht wirklich überraschend, dass Burnout und Stress bei Security-Verantwortlichen an der Tagesordnung sind. Dies fördert klar den Fachkräftemangel, da potenzielle neue Talente abgeschreckt werden und sich stattdessen für eine ebenso interessante, aber weniger stressige Karriere in einem anderen Bereich entscheiden“, warnt Carson.
Um den Druck auf Sicherheitsexperten zu verringern und neue Talente anzulocken, sei es unerlässlich, dass alle Mitarbeiter in einem Unternehmen Sicherheit als grundlegendes Fundament betrachten und den geschäftlichen Nutzen verstehen. Die Förderung einer Kultur, in der die Mitarbeiter keine Angst haben müssen, ein potenzielles Cyber-Sicherheitsproblem zu melden, sei ebenfalls enorm wichtig, denn „je früher ein Problem gemeldet wird, desto geringer sind die Auswirkungen in Form von Stress und Kosten für das Unternehmen.“
Der vollständige Report „Cyber Security Team’s Guide to Success – How to Measure Results, Secure Budget, and Avoid Stress“ steht als 20-seitiges PDF in englischer Sprache über https://thycotic.com/resources/ciso-global-cyber-security-metrics-report/ zum Download bereit (Registrierung erforderlich). (www.thycotic.com)
Aktualisierter Leitfaden „E-Mail-Verschlüsselung“
Der Bundesverband IT-Sicherheit e. V. (TeleTrusT) hat eine überarbeitete Ausgabe seines Leitfadens E-Mail-Verschlüsselung veröffentlicht, der den Themenkreis E-Mail-Sicherheit behandelt, Hintergründe erklärt und technische Vorschläge enthält. Peter Hansemann, Leiter des TeleTrusT-Arbeitskreises „Mail Security“, kommentierte: „Ungeachtet der wachsenden Nutzung von Messengern bleibt E-Mail trotz aller Sicherheitsdefizite das meistgenutzte Medium der elektronischen Kommunikation. TeleTrusT bietet mit der nunmehr 3. Auflage des Leitfadens zur E-Mail-Sicherheit eine praxisorientierte Handreichung für Unternehmen, aber auch für private Anwender, um ihre E-Mail-Kommunikation sicherer zu gestalten.“ Der 74-seitige Leitfaden steht auf www.teletrust.de/publikationen/broschueren/e-mail-verschluesselung/ zum kostenlosen Download bereit. (www.teletrust.de)
Firmen, Finanzen & Fusionen
Bundesdruckerei schließt Erwerb von genua ab: Mit Wirkung zum 1. Januar 2020 hat die Bundesdruckerei ihre 2015 erworbenen
52 % Anteile auf 100 % aufgestockt und ist somit nun alleiniger Eigentümer der genua GmbH. (www.bundesdruckerei.de / www.genua.de)
Neue Mitglieder für Charter of Trust: NTT, Infineon und das Hasso-Plattner-Institut für Digital Engineering GmbH (HPI) sind neue Partner der Charter-of-Trust-(CoT)- Initiative, die Siemens vor gut zwei Jahren mit zunächst acht Partnern ins Leben gerufen hat. Gemeinsam wolle man Produkte der nächsten Generation mit einer eindeutigen Security-by-Default-Philosophie ausliefern sowie verbindliche Regeln und Standards fördern, um Vertrauen in die Cyber-Sicherheit aufzubauen und die Digitalisierung voranzutreiben. Zu den bisherigen CoT-Mitgliedern gehören unter anderem Airbus, Allianz, Cisco, Dell, Deutsche Telekom, IBM und TÜV SÜD sowie das BSI, das spanische National Cryptologic Center (CCN) und die TU Graz als assoziierte Partner. (www.charteroftrust.com)
Cryptshare und Konica Minolta starten Managed-SecurityService: Der gemeinsame Service Secureshare zur gesicherten Datenübermittlung ist den Unternehmen zufolge seit März in Deutschland und Österreich verfügbar.
(www.konicaminolta.de / www.cryptshare.com) IN Groupe übernimmt Nexus: Mit der Akquisition wolle die IN
Groupe (vormals Imprimerie Nationale) ihr Wachstum beschleunigen und das strategische Ziel unterstreichen, in den Bereichen sichere Identitäten und digitale Dienstleistungen als führender Anbieter in Europa aufzutreten. (www.ingroupe.com / www.nexusgroup.com)
Neue Partner für die it-sa: Das Nationale Forschungszentrum für angewandte Cybersicherheit ATHENE sowie der Bundesverband
für den Schutz Kritischer Infrastrukturen (BSKI) unterstützen die Cybersecurity-Fachmesse und Kongressveranstaltung künftig als offizielle Partner. (www.it-sa.de / www.athene-center.de / www.bski.de)
Mellanox übernimmt Titan IC: Mit dem Entwickler von Network-Intelligence-Technologie wolle der Anbieter von End-to-EndEthernet- und -InfiniBand-Lösungen sowie Services für „intelligente“ Verbindungen für Server und Speicher in Rechenzentren die eigene Position in den Bereichen Security und Datenanalyse stärken. Das Team von Titan IC in Belfast soll zum Zentrum der Network-Intelligence-Forschung und -Entwicklung von Mellanox werden. (www.mellanox.com / http://titan-ic.com)
Sepio Systems startet Vertrieb in der DACH-Region: Der IT-Security-Anbieter hat sich nach eigenen Angaben auf den Schutz vor Angriffen durch gefährliche Hardware spezialisiert – beispielsweise Attacken mit manipulierten USB-Ladekabeln oder -Sticks, Modems oder Switches, mit denen Firmendaten ausgespäht oder gefährliche Skripte eingeschleust werden können. Informationen und Bezugsquellen seien über den Partner ProSoft erhältlich. (www.sepio.systems / www.prosoft.de)
Sophos-Akquisition finalisiert: Das Unternehmen hat Anfang März den Abschluss der Übernahme durch Thoma Bravo bekannt gegeben. Damit gehören der PrivateEquity-Firma mit Schwerpunkt auf dem Software- und Technologie-Dienstleistungssektor nunmehr zwanzig IT-Security-Anbieter. (www.sophos.com / www.thomabravo.com)
Kooperation von TÜViT und dem Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC): Gemeinsam wolle man einen Ansatz zur Zertifizierung von KI-Algorithmen entwickeln, der über ein innovatives Prüfverfahren die Vertrauenswürdigkeit von Lösungen der künstlichen Intelligenz (KI) messbar machen soll. (www.tuvit.de / www.aisec.fraunhofer.de)
Utimaco akquiriert Geobridge: Die Übernahme ermögliche integrierte Lösungen für Schlüssel-Injektion am Point-of-Sales (PoS) und flexibles Management kryptografischer Schlüssel, besonders im Finanzwesen. Nach Abschluss der Übernahme werde Geobridge mit seinen Mitarbeitern und Kunden in das Portfolio der Information-Security-Sparte (IS) von Utimaco eingebunden. (www.utimaco.com / www.geobridge.net)
Neuer Cloud-Security-Service-Provider aus Deutschland: Veronym verspricht speziell kleinen und mitteständischen Unternehmen (KMU) „skalierbare Cybersicherheit auf Enterprise-Niveau – einfach, effektiv und erschwinglich“. Dazu schnüre man verschiedene Paketlösungen auf Grundlage der Produkte und Dienste etablierter Sicherheitsanbieter und stelle diese in leicht verständlichen Lizenzmodellen als Bundles „auf Knopfdruck“ zur Verfügung. (www.veronym.de)
WatchGuard kauft Panda Security: Die Lösungen des in Spanien ansässigen Unternehmens sollen nach Abschluss der Akquisition schnellstmöglich ins Produktangebot von WatchGuard integriert werden. Ziel sei der Ausbau der bestehenden
WatchGuard-Sicherheitsplattform, um einen „umfangreichen Schutz vom Netzwerk bis zum Endpunkt“ zu gewährleisten. (www.watchguard.de / www.pandasecurity.com/de/)