Jede fünfte IT-Abteilung scheitert trotz entsprechender Bemühungen bei der Implementierung einer minimalen Rechtevergabe, auch Least Privilege-Strategie genannt. Die Konsequenz sind zu weit gefasste Zugriffsrechte und unkontrollierte privilegierte Accounts.
Wie der aktuelle 2020 Global State of Least Privilege Cyber Security Report von Thycotic und Cybrary offenbart, halten mehr als 65 Prozent der IT-Professionals eine Least Privilege-Strategie für äußerst wichtig, wobei sich 36 Prozent vor allem vor den vielfältigen Gefahren, die von Mitarbeitern und Drittanbietern ausgehen, schützen möchten. Für weitere 22 Prozent ist die Einhaltung von Compliance-Richtlinien der Hauptgrund für die Einführung dieser Sicherheitsmaßnahme.
Die Umsetzung einer minimale Rechtebergabe verläuft jedoch keineswegs immer reibungslos. So gestehen 20 Prozent, dass sie ein Least Privilege-Modell implementieren wollten, ihr Vorhaben letztlich aber gescheitert ist. Ursächlich für dieses Scheitern seien demnach in fast der Hälfte der Fälle die Beschwerden der Nutzer.
Nutzerbeschwerden sind der häufigste Grund für das Scheitern von Least Privilege
„Bedenkt man, dass mehr als 80 Prozent aller Zugriffsverstöße auf kompromittierte Berechtigungsnachweise wie IDs und Passwörter zurückzuführen sind, ist es offensichtlich, dass Unternehmen weltweit die privilegierten Zugriffe auf Konten, Anwendungen, Daten und Systeme einschränken müssen“, kommentiert James Legg, der CEO von Thycotic die Umfrageergebnisse. „Ein einziger kompromittierter Endnutzer mit lokalen Administratorrechten ist für einen Cyberkriminellen oder böswilligen Insider ausreichend, um sich Zugang zu sensiblen Informationen zu verschaffen und dabei unentdeckt zu bleiben oder sogar das gesamte Netzwerk eines Unternehmens lahmzulegen.“
Wie nachlässig viele Unternehmen nach wie vor mit privilegierten Zugriffen umgehen, zeigt die Tatsache, dass 27 Prozent der Befragten auf jedem Rechner die gleichen lokalen Administrator-Zugangsdaten nutzen. „Gerade in einer Zeit, in der eine Rekordzahl von Menschen von zu Hause aus arbeiten müssen, ist es unerlässlich, dass wir alle uns zur Verfügung stehenden Werkzeuge nutzen, um eine Least Privilege-Strategie durchzusetzen und gleichzeitig die Produktivität zu erhalten. Dazu gehört auch die Einschränkung von lokalen Administrator-Credentials auf den Endgeräten der Anwender sowie die Aufklärung der Anwender darüber, wie Least Privilege das Unternehmen sicherer macht“, ergänzt Legg.
Thycotic-CEO James Legg
Die vollständigen Report-Ergebnisse stehen hier zum Download bereit.
