Fragen und Antworten mit dem CTO von Dashlane: Wie Sicherheitsverantwortliche die Hauptursachen für Sicherheitsverletzungen angehen können
Menschliche Fehler sind für 55 % der Datenschutzverletzungen verantwortlich, die Ausnutzung von Schwachstellen für weitere 21 %. Während Sicherheitsteams fleißig daran arbeiten, diese Risiken zu mindern und die Daten ihrer Unternehmen zu schützen, könnte eine neue Welle von Risiken ihre Bemühungen erschweren. Die Gründe dafür sind, dass sich Cyberkriminelle anpassen, neue Technologien eingeführt werden und Sicherheitsbudgets nicht entsprechend wachsen.
Frédéric Rivain, seit fast einem Jahrzehnt Chief Technology Officer bei Dashlane, erklärt, dass es mit der Zeit weitere neue Schwachstellen und Herausforderungen für IT-Teams geben wird.
„Wir haben in den letzten Jahren beim Schutz von Systemen und Benutzern im Internet große Fortschritte gemacht. Gleichzeitig haben aber die Nutzung und Abhängigkeit von Computersystemen zugenommen, sodass die Risiken und Anforderungen parallel dazu explodiert sind“, meint Rivain.
Lesen Sie weiter, um zu erfahren, wie Sicherheitsverantwortliche seiner Meinung nach die größten Sicherheitsherausforderungen proaktiver angehen können und was ihm Hoffnung für die Zukunft macht.
Frage: Wenn man beim Thema Sicherheit reaktiv statt proaktiv vorgeht, kann das Sicherheitsverletzungen Vorschub leisten. Wie können Sicherheitsverantwortliche proaktiver werden?
FR: Erstens müssen sie sicherstellen, dass sie über die Grundlagen verfügen. Meist geht es beim Thema Sicherheit um gesunden Menschenverstand und die Einhaltung von Best Practices, anstatt einfach nur neueste Technologie zu nutzen. Hier ein paar Beispiele:
- Haben Sie für alle Ihre kritischen Systemen SSO und MFA durchgesetzt? Haben Sie die Funktionen mit einem Credential Manager kombiniert, der im gesamten Unternehmen bereitgestellt ist, um alle anderen Dienste, die in Ihrem Unternehmen zum Einsatz kommen, zu ergänzen und abzudecken?
- Schulen Sie Ihre Mitarbeiter regelmäßig bezüglich Sicherheit und Risiken, um dafür zu sorgen, dass sie ihre Kenntnisse zu Themen wie Phishing, Datenschutz, Datenlecks, Social Engineering und mehr verbessern?
- Haben Sie ein Bedrohungsmodell definiert, das Risiken für Ihr Unternehmen identifiziert? Überprüfen, priorisieren und adressieren Sie diese Risiken mit Ihren Stakeholdern konsequent?
Sobald Sie über die aufgezählten Grundlagen verfügen, können Sie bereits proaktiv werden und die Messlatte für Ihre Sicherheitspraktiken höher legen. Wenn Sie beispielsweise 2FA-Push-Benachrichtigungen nutzen, sollten Sie für privilegierte Benutzer wie IT-Administratoren oder Ingenieure einen Wechsel zu WebAuthn und biometrischer Prüfung auf Geräten bzw. Hardware-Sicherheitsschlüsseln in Betracht ziehen.
Frage: Mangelnde Transparenz bei Risiken im Zusammenhang mit Anmeldedaten ist eine große Herausforderung. Was können Sicherheitsverantwortliche tun, um dies zu ändern?
FR: Man kann nur verbessern, was man misst. Anders ausgedrückt: Als Sicherheitsverantwortlicher müssen Sie das Verhalten Ihrer Mitarbeiter überwachen und verstehen. Dabei sind Verhaltensweisen nicht nur arbeitsbezogener Art, da Mitarbeiter geschäftliche Geräte auch für den privaten Gebrauch verwenden. Ihre Hygiene in Bezug auf Anmeldedaten ist die Summe dieser Verhaltensweisen.
Dashlane bietet Ihnen Tools, um solche Verhaltensweisen mit der Funktion Risikoerkennung für Anmeldedaten proaktiv zu identifizieren. Dabei ist die Funktion Teil unserer Web-Erweiterung. IT-Administratoren können damit gefährdete Anmeldedaten von Mitarbeitern in Echtzeit überwachen sowie umfassende Berichte und Aktivitätsprotokolle erstellen. Das ist wichtig, denn selbst wenn Mitarbeiter ihren Credential-Manager am Arbeitsplatz aktiv verwenden, könnte es sein, dass sie schlechte Angewohnheiten haben, die Sie nicht kennen. Das Feature funktioniert sogar bei Mitarbeitern, die Dashlane gar nicht verwenden.
Wollen Sie Bedrohungen für Anmeldedaten mit proaktiven Sicherheitstools, die Sie nur einmal einrichten müssen und dann vergessen können, einen Schritt voraus bleiben? Erfahren Sie, wie Sie loslegen können.
Frage: Es wird viel darüber geredet, wie KI Cybersicherheitsrisiken erhöht. Was sollten Unternehmen Ihrer Meinung nach tun, um sich zu schützen?
FR: Kurzfristig sehe ich zwei Hauptrisiken im Zusammenhang mit der böswilligen Verwendung von KI:
- Besser angepasste und ausgeklügeltere Phishing-Angriffe, die von KI unterstützt werden. Die Lösung besteht darin, zu nicht phishing-fähigen Anmeldedaten wie z. B. Passkeys zu wechseln. Dashlane unterstützt Passkeys auf allen Plattformen und bietet sogar eine Masterpasswort-lose Lösung, mit der Privatbenutzer resistenter gegenüber Phishing werden können.
- Lecks von geistigem Eigentum oder Daten aufgrund von KI-Tools. Dieses Risiko ist schwer zu begrenzen, da es heute sehr einfach ist, ein privates Konto bei einer Plattform wie ChatGPT zu erstellen und darin geschäftliche Daten einzuspeisen. Greifen Sie der Entwicklung vor: Wählen Sie eine KI-Plattform, die von Ihrem Unternehmen geprüft wird und bezüglich der Mitarbeiter geschult und zur Verwendung ermutigt werden. So können Mitarbeiter bequem genehmigte KI-Tools nutzen, anstatt KI-Plattformen in Form von Schatten-IT zu verwenden.
Frage: Wie können Unternehmen eine Sicherheitskultur schaffen, in der Mitarbeiter das Gefühl haben, eine Schlüsselrolle beim Thema Sicherheit zu spielen?
FR: Jeder einzelne Mitarbeiter ist mitverantwortlich für die Sicherheit seines Unternehmens. Alle Mitarbeiter können zu einem schwachen Glied und zur Quelle von Sicherheitsvorfällen werden. Diese Tatsache muss dem CEO und allen Beschäftigten im Unternehmen eine ständige Mahnung sein und durch regelmäßige Schulungen und Übungen (wie z. B. Phishing-Simulationen) unterstrichen werden. Außerdem können Sie die Auswirkungen von Sicherheitsvorfällen veranschaulichen, indem Sie Erfahrungen aus Sicherheitsverletzungen, die bei Konkurrenten aufgetreten sind, teilen.
Als Sicherheitsverantwortlicher besteht Ihre Aufgabe darin, strukturelle Schutzmaßnahmen einzurichten, die das Risiko von Fehlern durch Mitarbeiter minimieren. Wenn Mitarbeiter beispielsweise für ihre Arbeit keinen Zugriff auf bestimmte vertrauliche Daten über Kunden benötigen, sollten Sie ihnen auch keinen Zugriff gewähren. Dieses Prinzip der „geringsten Zugriffsberechtigung“ sorgt dafür, dass Sie Risiken begrenzen, falls ein Mitarbeiter gehackt wird.
Frage: Es gibt immer wieder beängstigende neue Schlagzeilen zu Sicherheitsrisiken und Datenschutzverletzungen. Was gibt Ihnen Hoffnung hinsichtlich des Zustands der Cybersicherheit heute und morgen?
FR: Wenn Sie mir den Vergleich erlauben: Cybersicherheit ist wie Gesundheit. Nur dass es hier um digitale Gesundheit geht, nicht um körperliche. Mit der Zeit ist es uns gelungen, Impfstoffe und Heilmittel zu entwickeln und die Menschheit insgesamt gesünder zu machen. Das ist ein langer Weg, der leider mit Rückschritten und neuen Krankheiten verbunden ist, aber insgesamt haben wir deutliche Fortschritte gemacht.
Beim Thema Cybersicherheit ist es ähnlich. Systeme und Menschen sind heute im Internet generell sicherer als früher, doch haben auch die Risiken und Anforderungen zugenommen. Daher liegt noch viel Arbeit vor uns, um das digitale Leben gesünder zu machen.
Der Weg zu einer sichereren digitalen Zukunft wird Resilienz, Anpassungsfähigkeit und Zusammenarbeit erfordern. Wenn wir heute in proaktive Maßnahmen investieren – sei es durch grundlegende Sicherheitspraktiken, die Verwaltung von Anmeldedaten oder Sicherheitsschulungen –, können wir alle dazu beitragen, dass die Arbeitswelt und die Branche sicherer werden.
Wenn sich Sicherheitsteams, Mitarbeiter und Führungskräfte auf Wachsamkeit und Verantwortung konzentrieren, können wir die Messlatte ständig höher legen und eine digitale Welt schaffen, in der Sicherheit und Vertrauen die Norm sind und Risiken minimiert werden. Der Weg zu einem gesünderen und sichereren digitalen Ökosystem mag lang sein, aber jeder Schritt nach vorn bringt uns dem Ziel näher.
Schützen Sie die digitale Gegenwart und Zukunft Ihres Unternehmens mit proaktiver Sicherheit für Anmeldedaten. Erfahren Sie, wie Sie noch heute loslegen können.
Melden Sie sich an, um Neuigkeiten und Updates zu Dashlane zu erhalten
