Vorsicht ist besser als Nachsicht: Warum Ihr Unternehmen in das Passwortmanagement investieren sollte

By August 15, 2016 Unkategorisiert No Comments

Nancy Deol ist Marketingleiterin bei Advanced Kiosks, einem Kunden von LastPass Enterprise. Sie tritt heute als Gastautorin auf unserem Blog auf, um die Sinnhaftigkeit einer Passwortmanagementlösung für Ihr Unternehmen zu besprechen. Der Zeitpunkt könnte nicht besser sein: In letzter Zeit haben unzählige Marken – und nicht zu vergessen CEOs – aufgrund von Cyberangriffen Schlagzeilen gemacht, aber viele Unternehmen wissen einfach nicht, wo sie in puncto Passwortsicherheit anfangen sollen. Nancys Ratschläge werden Ihnen helfen, die ersten Schritte in die richtige Richtung zu tun. Sie erklärt Ihnen unter anderem, wie LastPass dazu beitragen kann, schlechten Passwortgewohnheiten ein Ende zu bereiten.

Die Cyberkriminalität wird hier bei Advanced Kiosks nicht auf die leichte Schulter genommen. Wir arbeiten mit vielen Regierungs- und Gesundheitseinrichtungen zusammen, und der Schutz ihrer Daten ist nicht nur wichtig, sondern absolute Voraussetzung. Wenn sich ein Kunde für unser Kiosksystem entscheidet, dann erklären wir dem Projektmanager (bevor er überhaupt fragen kann), dass auf unseren Terminals die Kioskmanagementsoftware Zamok, die unsere Kioske vor Manipulation schützt, bereits vorinstalliert ist. Diese Software schränkt die Touchscreen-Nutzung ein und schützt das Kiosksystem vor Hackern und unerwünschtem Surfen im Internet. Sie stellt außerdem sicher, dass der nächste Benutzer des Terminals nicht auf die Daten des vorherigen Benutzers zugreifen kann – schließlich durchlaufen große Mengen personenbezogener Daten die Software bzw. Anwendung. Wir sorgen dafür, dass diese Daten vertraulich behandelt werden, und schützen außerdem die Administratordateien und -einstellungen und machen sie für Außenstehende unzugänglich.

Wie Sie sehen, investieren wir sehr viel in die Sicherheit unserer Produkte. Warum also nicht auch in die Sicherheit unserer Arbeitsplatzrechner?

Nicht nur die großen Marken sind Ziel von Angriffen

Bei Advanced Kiosks müssen wir stets über neue Cyberangriffe sowie bewährte Vorgehensweisen, um Angriffe zu verhindern, auf dem Laufenden sein. IBM und das Ponemon Institute erforschten die Kosten von Datenlecks und veröffentlichten ihre Erkenntnisse in der 2015 Cost of Data Breach Study: Die Gesamtkosten einer einzigen Sicherheitsverletzung beliefen sich 2015 im Durchschnitt auf unglaubliche 3,79 Mio. US-Dollar.

Co8Z2p1WcAA-dxB

Viele von Ihnen lesen diese Statistik vielleicht und denken sich: „Das betrifft uns aber nicht. Solche Dinge passieren nur den wirklich großen Unternehmen.“ Falsch gedacht. In den Nachrichten hören wir zwar oft von Cyberangriffen auf bekannte Namen wie LinkedIn, Target, Ashley Madison, Sony oder NASDAQ, aber Tatsache ist, dass eines von 40 Kleinunternehmen Gefahr läuft, Ziel von Cyberkriminellen zu werden. Die Anzahl der Angriffe auf Kleinunternehmen ist in letzter Zeit rasant gestiegen. Dem 2016 Internet Security Report von Symantec zufolge müssen sich Kleinunternehmen in erster Linie um „primitivere“ Angriffe Sorgen machen, die kostengünstig und relativ simpel auszuführen sind, wie etwa Phishing-Versuche oder Angriffe mit wiederverwendeten Passwörtern.

Letztendlich geht es darum, sowohl seine eigenen Assets als auch die seiner Kunden schützen. Dies ist von besonders großer Bedeutung, wenn Sie wie wir ein SaaS-Anbieter sind oder wenn Ihre Kunden persönliche, finanzielle oder andere vertrauliche Daten an Sie übermitteln. Meiner Meinung nach kümmern sich kleine Unternehmen nicht ausreichend um die Datensicherheit und schützen sich nicht ausreichend vor Angriffen, weswegen sie selbst und ihre Kunden anfälliger für Sicherheitsverletzungen sind.

Warum schützen sich Unternehmen also nicht vor Cyberangriffen?

„Uns wird das nicht passieren“

Einer der Hauptgründe ist, dass Unternehmen ernsthaft davon überzeugt sind, als Ziel nicht wichtig genug zu sein und nie Opfer eines Hackerangriffs zu werden. Das erinnert mich an den Spruch aus den Tributen von Panem: „Möge das Glück stets mit euch sein.“ Sich auf sein Glück zu verlassen ist eine äußerst riskante Einstellung, die nicht der Realität von Cyberangriffen entspricht.

Daten zeigen, dass Cyberkriminelle Opportunisten sind, die ihre Opfer zufällig auswählen und bei Angriffen auf der Suche nach dem schnellen Geld sind. Und leider sind Kleinunternehmen einfache Ziele. Laut der Online-Publikation Small Business Trends, die aus der Studie von Symantec wichtige Schlussfolgerungen zog, zielen Phishing-Angriffe meist auf jene Mitarbeiter ab, die für die Finanzen eines Kleinunternehmens verantwortlich sind. Wenn Sie sich also einfach nur deswegen in Sicherheit wähnen, weil Ihr Name nicht LinkedIn oder Sony ist, dann ist es an der Zeit, umzudenken und den realen Gefahren, denen Ihr Unternehmen gegenübersteht, ins Auge zu blicken.

„Ich habe einfach keine Zeit dafür“

Ein weit verbreiteter Irrtum ist, dass es zu lange dauert, genau das richtige Maß an Vorsichtsmaßnahmen zu treffen. Diese Einstellung überrascht mich immer, da es definitiv weit mehr kostet, sein Schicksal dem Zufall zu überlassen und dann den Kürzeren zu ziehen. Ganz besonders, wenn man bedenkt, dass laut einem vor kurzem von Experian veröffentlichten Bericht 60 Prozent der Kleinunternehmen, die Opfer eines Datenlecks werden, innerhalb von sechs Monaten schließen müssen.

Es stimmt – Sie müssen etwas Zeit investieren, um:

  • die richtige technologische Lösung für Ihr Unternehmen zu finden
  • sich mit der Lösung vertraut zu machen
  • die Lösung zu implementieren
  • Ihre Mitarbeiter einzuschulen

Aber nicht alle SaaS-Lösungen sind gleich, und die Dauer der Implementierung schwankt beträchtlich. Alle der oben genannten Faktoren sind wichtige Gründe, warum sich unser Unternehmen für LastPass Enterprise entschied, und warum wir LastPass Enterprise für die perfekte Lösung für alle Unternehmen halten, die nicht viel Zeit zur Verfügung haben.

LastPass macht die Passwortverwaltung extrem einfach. Da es sich um eine Self-Service-Lösung handelt, kann sie von allen Benutzern (genau, auch von technisch weniger versierten Personen) umgehend in Betrieb genommen werden. LastPass Enterprise passt perfekt zu uns, da wir ein Self-Service-Technologieunternehmen sind. Die Lösung ist zudem gut skalierbar, sodass Sie sie anfangs nur einigen wenigen Teammitgliedern zugänglich machen und dann auf Ihr gesamtes Unternehmen ausweiten können, wenn Sie dazu bereit sind.

„Ich vertraue darauf, dass meine Mitarbeiter vorsichtig genug sind“

Ehrlich gesagt, geht es hier nicht um Vertrauen, und Sie haben auch keine Möglichkeit, die Passwortgewohnheiten Ihrer Mitarbeiter zu überprüfen, solange Sie kein Passwortverwaltungssystem installiert haben. Die erste Frage, die Sie sich stellen sollten, lautet: „Weiß ich über Best Practices für Passwörter Bescheid, um unsere Daten vor Cyberkriminellen zu schützen, und sind meine Mitarbeiter in der Lage, sich an diese Best Practices zu halten?“

Wenn die Antwort „Ja“ lautet, herzlichen Glückwunsch – Sie haben die Cybersicherheit im Griff. Sie ist so wichtig für Ihr Unternehmen. Wenn Sie sich nicht sicher sind, dann erzähle ich Ihnen im Folgenden gerne, was Sie wissen müssen.

Im Blog-Beitrag How do you protect your passwords? von Tech Talks werden einige hilfreiche Best Practices für den Passwortschutz angeführt. Hier die wichtigsten davon:

  • Es ist besser, ein längeres Passwort zu wählen als ein kürzeres und komplizierteres. Natürlich ist es gut, Symbole, Ziffern, Buchstaben usw. zu kombinieren; das Wichtigste ist jedoch, dass Ihr Passwort lang ist. Aber Achtung: Die Ziffernfolge von 0 bis 9 zweimal zu wiederholen, ergibt kein starkes Passwort. Eine zufällige Zeichenfolge ist weit besser als 01234567890123456789.
  • Verwenden Sie keine gängigen Schlagwörter oder Redewendungen. Internetbetrüger wissen, dass viele von uns bekannte und beliebte Ausdrücke als Passwort verwenden. „Hasta la vista, baby!“ oder „Mein Name ist Bond“ bieten Ihnen nicht den starken Schutz, den Sie brauchen.
  • Verwenden Sie Ihre Passwörter nicht mehrmals, auch wenn sie noch so gut sind. Nur weil Cyberkriminelle Ihr Passwort nicht erraten können, bedeutet das nicht, dass sie es nicht von einem Ihrer anderen Dienste stehlen können.

Selbst wenn sich Ihre Mitarbeiter dieser Maßnahmen bewusst sind, können Sie ohne technologische Hilfsmittel nicht überprüfen, ob sie sie tatsächlich einhalten und ob Ihr Unternehmen ausreichend geschützt ist. Und wenn uns der Hackerangriff auf LinkedIn eines gezeigt hat, dann ist es, dass die drei beliebtesten Passwörter von LinkedIn-Usern 123456, linkedin und password lauten. Diese Tatsache allein sollte ein Warnsignal für Sie sein: LinkedIn ist eine Social-Networking-Plattform für Unternehmen … und Sie betreiben ein Unternehmen. Und das sind Ihre Mitarbeiter.

LastPass kann Ihrer Unsicherheit in Bezug auf die Passwortsicherheit ein Ende bereiten. Es misst die Passwortqualität und meldet schlechte Passwörter, was Ihnen die Gewissheit gibt, dass Ihre Mitarbeiter starke und individuelle Passwörter verwenden. Wie sicher könnten Sie sich ohne so ein System schon sein?

Die Kosten eines Angriffs verglichen mit den Kosten von Vorbeugemaßnahmen

Wenn Sie Ihr Unternehmen nicht ausreichend vor Hackern und Internetbetrügern schützen, sind damit hauptsächlich drei verschiedene Arten von Kosten verbunden. Die Daten belegen, dass sowohl große als auch kleine Unternehmen anfällig für Angriffe sind, also müssen Sie überlegen: Was würde es Sie kosten, wenn Sie genauso weitermachen wie bisher und keine Sicherheitsmaßnahmen ergreifen?

Die Kosten lassen sich in folgende Hauptkategorien einteilen:

  • Finanzieller Aufwand: Sie könnten aufgrund eines Cyberdiebstahls Umsatzverluste erleiden. Dies hätte nicht nur negative Auswirkungen auf Ihren Reingewinn, da finanzielle Vermögenswerte gestohlen werden, sondern auch auf das Vertrauen, das Ihnen potentielle Kunden entgegenbringen. Dies wiederum verursacht Umsatzeinbußen, da Sie weniger neue Kunden gewinnen. Dazu kommen die zusätzlichen Kosten für den Zeitaufwand und die notwendigen Ressourcen, um den Schaden zu beseitigen und die Lücken, die zu dem Angriff geführt haben, zu stopfen. Wir assoziieren die Cyberkriminalität in erster Linie mit finanziellen Verlusten, aber das ist nur eine der drei Hauptarten von Kosten.
  • Zeitlicher Aufwand: Sie finden, dass es zu zeitaufwendig wäre, jetzt in eine Lösung für den Passwortschutz zu investieren? Aber was ist mit der Zeit, die ein Hackerangriff kosten würde? Denken Sie an die gesamte Zeit, die Sie und Ihre Mitarbeiter nach einem Cyberangriff investieren müssten. Sie müssen Strafverfolgungsbehörden, Finanzinstitute, Gläubiger, Lieferanten und Kunden kontaktieren – das kostet Zeit. Und Sie müssen die Ursache der Sicherheitslücke identifizieren und beseitigen sowie sämtliche Passwörter zurücksetzen, was ebenfalls zeitaufwendig ist.
  • Aufwand aufgrund des Imageverlustes: Ja nachdem, was nach einem Cyberangriff geschieht, könnte Ihre Marke erheblichen Schaden nehmen. Die schlimmste Konsequenz wäre, dass Sie Ihre Arbeit verlieren oder Ihr Unternehmen schließen muss. Vielleicht verlieren Sie auch Mitarbeiter oder Kunden an Ihre Mitbewerber. Wenn Sie ein kleines oder mittelgroßes Unternehmen betreiben oder in einer besonderen Nische tätig sind, dann spricht sich ein Hackerangriff schnell herum und Ihr Ruf kann sofort darunter leiden.

Wenn Sie Ihr Unternehmen nicht vor Cyberangriffen schützen, gehen Sie ein hohes Risiko ein. Advanced Kiosks erkannte, dass der Schlüssel darin liegt, potentielle Angriffe von Vornherein zu verhindern, und dass dies eine gewisse Vorabinvestition wert war. Aus diesem Grund entschieden wir uns für LastPass Enterprise.

„Ein Passwort-Manager ist zweifellos die wichtigste Investition – sowohl hinsichtlich Zeit als auch Geld –, um zu gewährleisten, dass Ihre Daten sicher und geschützt sind.“

– Robert Siciliano, CEO von IDTheftSecurity.com

Warum sich Advanced Kiosks für LastPass Enterprise entschied

password_manage_3-2

Es gibt eine Vielzahl von Gründen, warum LastPass Enterprise die beste Lösung für unser Self-Service-Technologieunternehmen war. Im Folgenden finden Sie einige der wichtigsten Funktionen und Vorteile dieser wertvollen Passwortmanagementsoftware.

  • Der Hauptgrund: Wir sind ein Self-Service-Technologieunternehmen, dessen Gründer – ein Technikexperte – fest an die Risikobegrenzung und -minimierung glaubt. Mehr muss ich dazu wohl nicht sagen, oder?
  • Der Preis: Der Preis von LastPass Enterprise war genau richtig für unser Team, und noch dazu ist die Lösung skalierbar. Wir können weitere Teammitglieder hinzufügen, wenn unser Unternehmen wächst, oder bei Bedarf Benutzer entfernen. Die Preisgestaltung ist flexibel und budgetschonend für KMU.
  • Schulungsmaterial: Unser Team weiß den großen Umfang an Schulungsmaterialien zu schätzen – vom LastPass-Blog über die Screencasts bis hin zu anderen hilfreichen Supportoptionen, die von LastPass entwickelt wurden, um seinen Kunden die Nutzung der Software zu erleichtern.
  • Der Vault: Die Benutzeroberfläche, auch „Vault“ oder „Tresor“ genannt, ist äußerst einfach zu verwenden, was auch die Passwortverwaltung leicht macht. Wir haben keine Zeit, um uns mit einer komplizierten oder nicht intuitiven Benutzeroberfläche zu beschäftigen. Der Vault ermöglicht uns eine mühelose Passwortverwaltung.
  • Die Passwortfreigabe: Im Vault gibt es einen Ordner mit Passwörtern, die für Sie freigegeben wurden, aber die Sie nicht bearbeiten dürfen. Mein Vorgesetzter kann mir beispielsweise Zugriff auf die verschiedenen Softwareplattformen gewähren, die wir in unserem Unternehmen verwenden, ohne dass er mir die Passwörter dafür mitteilen muss. Sollte ich jemals den Job wechseln, kann er meinen Passwortzugriff jederzeit aufheben und die Passwörter ändern. Ich kann auch meine eigenen Passwörter für die Mitglieder meines Marketingteams freigeben und den Zugriff jederzeit widerrufen. Als ich meinen Chef Howard zu dieser Funktion befragte, sagte er:

„Ich liebe die Passwortfreigabe!“ Er fügte hinzu: „Früher verbrachte ich jeden Tag 30 Minuten damit, Passwörter nachzuschlagen. LastPass hat mir diese Zeit zurückgegeben.“

  • Die zentralisierte Administrationskonsole: Die Konsole ist ein wichtiges Feature, das Ihnen viel Zeit spart – vor allem, wenn Ihr Unternehmen wächst. Dank der zentralen Administrationskonsole dauert das Onboarding nur wenige Minuten. Unser Chef kann neuen Mitarbeitern umgehend Zugriff auf Websites und Apps gewähren. Die Mitarbeiter-Vaults lassen sich außerdem auch im Voraus mit allen Logins füllen, die nötig sind, um LastPass in Betrieb zu nehmen.
  • Die Sicherheit: Ein weiterer Grund, warum wir uns für LastPass entschieden, war die hohe Sicherheit der Lösung. LastPass verwendet führende Verschlüsselungsalgorithmen, speichert keine Passwörter auf seinen Servern und bietet die Zwei-Faktor-Authentifizierung als zusätzliche Sicherheitsebene an. Und das sind nur einige Beispiele für die zahlreichen Sicherheitsmaßnahmen, die LastPass zum Schutz seiner Kunden einsetzt.
  • LastPass ist die logische Lösung für uns: Unter dem Strich ist es schlichtweg viel einfacher für die Mitarbeiter, sich ein einziges schwieriges Passwort zu merken als 20 oder mehr. Diese Logik ergibt einfach Sinn.

Nun wissen Sie mehr darüber, warum Vorsicht in Sachen Cyberkriminalität besser ist als Nachsicht – oder besser gesagt, warum eine kleine Investition in die Cybersicherheit besser ist als ein potentieller Schaden in Millionenhöhe –, und sollten sofort handeln. Denken Sie daran: Die Internetkriminalität nimmt zu. Laut einem kürzlich von Security Intelligence veröffentlichten Bericht wird sie im Jahr 2019 Kosten von 2,1 Billionen US-Dollar verursachen. Jetzt ist die beste Zeit, um vorbeugende Maßnahmen für Ihr Unternehmen zu ergreifen. Im Gegenzug für eine kleine Investition werden Sie etwas erhalten, das meiner Meinung nach unbezahlbar ist: ein sicheres Gefühl.