IT-Entscheider beklagen mangelnde Unterstützung bei Security-Projekten

CISO Report_0

Mehr als die Hälfte der IT-Sicherheitsentscheider glaubt, dass ihre Sicherheitsstrategie nicht mit der aktuellen Bedrohungslage Schritt hält. Das ist das Ergebnis einer neuen Studie des PAM-Experten Delinea. 20 Prozent der befragten Security-Professionals denken demnach, dass sie mit ihren Sicherheitspraktiken hinterherhinken, 13 Prozent glauben, auf der Stelle zu treten, und lediglich 27 Prozent versuchen überhaupt, der Bedrohungslage gerecht zu werden. 

Dabei offenbart die Befragung von knapp 2.100 Sicherheitsentscheidern aus 23 Ländern Unterschiede zwischen der gefühlten und der realen Wirksamkeit ihrer Sicherheitspraktiken. Obwohl 40 Prozent der Befragten überzeugt sind, dass sie über eine adäquate Security-Strategie verfügen, mussten 84 Prozent zugeben, dass ihr Unternehmen in den letzten anderthalb Jahren eine Identitäts-bezogene Kompromittierung oder einen Angriff erlebt hat, der auf gestohlenen Anmeldedaten zurückzuführen ist.

Mangelnde Unterstützung durch die Geschäftsführung sorgt dafür, dass wichtige Sicherheitskontrollen auf der Strecke bleiben 

Dabei zeigt der Großteil der Unternehmen durchaus Bereitschaft für Veränderungen und Optimierungen, v.a. wenn es um den Schutz von Identitäten geht. Tatsächlich geben 90 Prozent der Befragten an, dass ihre Unternehmen die Bedeutung von Identitätssicherheit für das Erreichen ihrer Geschäftsziele gänzlich erkennen, und 87 Prozent sehen in der Absicherung von Identitäten eine der wichtigsten Sicherheitsprioritäten für die nächsten 12 Monate.

Doch gleichzeitig befürchten drei Viertel der Sicherheitsexperten auch, dass ihre Maßnahmen beim Schutz privilegierter Identitäten zu kurz greifen, weil sie nicht die nötige Unterstützung – sei es durch entsprechende Budgets oder die Ausrichtung der Führungsebene – erhalten. So gaben 63 Prozent der Befragten an, dass die Geschäftsführung ihres Unternehmens die Identitätssicherheit und die Rolle, die sie bei der Ermöglichung besserer Geschäftsabläufe spielt, noch nicht vollständig versteht.

Obwohl Geschäftsführer die Bedeutung von Identitätssicherheit mittlerweile erkannt haben, erhält der Großteil der Sicherheitsteams dennoch nicht die Unterstützung und das Budget, das sie benötigen, um wichtige Sicherheitskontrollen und -lösungen umzusetzen, die ihnen helfen, die größten Risiken zu reduzieren.

so Joseph Carson, Chief Security Scientist und Advisory CISO bei Delinea

Wichtige Kontrollen wie MFA werden oft vernachlässigt

Die Befragung offenbart auch, dass Unternehmen trotz guter Absichten noch einen weiten Weg vor sich haben, wenn es um die Absicherung von privilegierten Identitäten und Zugriffen geht. So hat nur weniger als die Hälfte der befragten Unternehmen kontinuierliche Sicherheitsrichtlinien und -prozesse für die Verwaltung von privilegierten Zugriffen implementiert, wie z. B. eine Rotation oder Genehmigung von Passwörtern, zeit- oder kontextbasierte Sicherheit oder Privileged Behavior Monitoring, wie z. B. Aufzeichnungen und Audits. Noch besorgniserregender ist jedoch, dass mehr als die Hälfte aller Befragten es privilegierten Benutzern erlauben, auf sensible Systeme und Daten zuzugreifen, ohne dass eine Multi-Faktor-Authentifizierung (MFA) erforderlich ist.

Non-Human-Identities bleiben ungemanagt

Und auch ein weiteres gefährliches Versäumnis bringt der Report ans Licht: Denn obwohl zu den privilegierten und damit schützenswerten Identitäten neben menschlichen Usern, wie Domain- und lokale Administratoren, auch nicht-menschliche Identitäten, wie Dienstkonten, Anwendungskonten, Code und andere Arten von Maschinen-Identitäten gehören, die automatisch Verbindungen herstellen und privilegierte Informationen freigeben, laufen letztere oft unter dem Radar. Nur 44 Prozent der Unternehmen verwalten und sichern diese maschinellen Identitäten angemessen ab, während die Mehrheit sie ungeschützt lässt und damit anfällig für Angriffe macht.

Wenn Angreifer Maschinen- und Anwendungsidentitäten anvisieren, können sie sich leicht verstecken und im Netzwerk bewegen, um den besten Ort für einen Angriff zu finden, wo sie den größten Schaden anrichten können. Unternehmen müssen deshalb unbedingt sicherstellen, dass auch Maschinen-Identitäten in ihre Sicherheitsstrategien einbezogen werden.

so Joseph Carson

Joseph Carson, Chief Security Scientist, Delinea

Die vollständigen Report-Ergebnisse sowie eine Infografik finden Sie unter: https://delinea.com/resources/benchmarking-security-gaps-and-privileged-access