Der Privileged Access Threat Report 2019 zeigt auf, wie die unzureichende Verwaltung von privilegierten Konten durch Unternehmen die dringende Notwendigkeit einer unternehmensweiten Privileged Identity- und Access Management-Strategie zum Schutz Ihres Unternehmens von innen und außen unterstreicht.
Black Hat 2019: Aufbau einer Sicherheitskultur im Unternehmen
by Jonas Outlaw —
Als Produktmanager für Remote Support bei BeyondTrust ist es mir wichtig, die neuesten Security-Trends zu kennen und zu wissen, wie sie sich auf den Servicedesk auswirken. Deshalb habe ich in diesem Jahr zum ersten Mal persönlich an der IT-Konferenz Black Hat teilgenommen und neben mehreren Breakout-Sitzungen mit größtem Interesse den Keynote-Vortrag von Dino Dai Zovi mitverfolgt. Nach einem schwül-heißen Sommer in Mississippi hatte ich mir einen angenehmeren Aufenthalt im trockenen Las Vegas erhofft – aber die trockene Hitze war im Endeffekt ähnlich belastend, wenn auch anders als gewohnt!
Für Produktmanager lohnt der Konferenzbesuch am meisten, wenn es wie bei BeyondTrust einen eigenen Stand gibt. So können wir mit aktuellen Kunden ins Gespräch kommen und auch von potentiellen Neukunden mehr über individuelle Anforderungen lernen, die bei der tagtäglichen Arbeit wichtig sind. Diese Direktgespräche sind eine wichtige Quelle für die Planung möglicher Innovationen und Funktionen bei der Produktentwicklung.
Und der BeyondTrust-Messestand war wirklich gut besucht. Ein häufiges Gesprächsthema der Fachbesucher war dabei, wie Insider- und Drittanbieterzugriffe innerhalb der IT-Umgebung abgesichert werden können. Einige Organisationen haben die Thematik gut im Griff, wer auf das Unternehmensnetz zugreifen darf, aber bei anderen Firmen herrschen noch ungeordnete Verhältnisse. Ein anderes, heißdiskutiertes Thema betraf die erforderliche Sicht und Steuerung, was Nutzer bei erfolgreicher Einwahl tatsächlich machen dürfen. Kennen sie ihre Admin-Zugangsdaten? Dürfen sie ihre Zugriffsrechte bei Bedarf erweitern? Haben Sie weiteren Zugriff auf andere IT-Systeme, wenn sie angemeldet sind?
Von Sicherheitsverstößen und der EU-DSGVO
Der Black-Hat-Gründer Jeff Moss eröffnete das diesjährige Event mit dem Hinweis, dass es einen (schmerzhaften) Lerneffekt auf vielen Gebieten gebe, die auf zurückliegenden Black-Hat-Konferenzen bereits thematisiert wurden. So unterstreichen breit publizierte Sicherheitsverletzungen die Notwendigkeit für eine wirksame Cybersecurity-Strategie und eine zukunftsgerichtete Vision beim IT-Risikomanagement. Als Folge der DSGVO-Gesetzgebung der EU im Vorjahr wurden erste Strafen für Datenverstöße großer Unternehmen verhängt, was den Zwang zum Datenschutz auf Unternehmensseite veranschaulicht. Die allgemeine Einschätzung ist, dass IT-Sicherheitsabteilungen jetzt die ungeteilte Aufmerksamkeit der Entscheider im privaten und behördlichen Umfeld haben.
Allerdings betonte Dino Dai Zovi von Square in seiner Keynote-Rede auch, dass die Unternehmenssicherheitskultur ein entscheidender Faktor bei der Implementierung, Umsetzung und Durchsetzung von Sicherheitsmaßnahmen ist. Als anschauliches Beispiel führte er seinen eigenen Arbeitgeber an, bei dem die Sicherheitstechniker direkt mit den Software-Entwicklern über Feedback-Loops in Echtzeit zusammenarbeiten. Früher wurden IT-Security-Teams oft als Außenstehende oder Störenfriede angesehen, die zu Lasten der Produktivität gingen. Jetzt sind IT-Sicherheitsexperten entscheidend an Produkt-Design und IT-Architektur beteiligt. Dai Zovi berichtete damit von den Erfahrungen in einem Softwareunternehmen, aber die Erkenntnisse lassen sich leicht auf andere Unternehmen übertragen. DevSecOps ist ein aktueller Trend, der in vielen Organisationen für die Umsetzung dieser Vision steht.
Eine gut funktionierende Zusammenarbeit mit der IT-Sicherheitsabteilung ist für den Teamerfolg im Unternehmen entscheidend. Moderne Sicherheitstools balancieren dabei die Sicherheits- und Produktivitätsziele aus. BeyondTrust-Produkte erhöhen das Sicherheitsniveau und erzielen Effizienzvorteile. Das betrifft sowohl die Erfassung von Zugangsdaten über den Password Safe als auch den Asset-Mapping-Dienst in Ihrer IT-Umgebung. Die Durchsetzung eines Least-Privilege-Konzeptes mit Endpoint Privilege Management für mehr Nutzersicherheit und -produktivität zählt ebenso dazu wie die sichere Bereitstellung von Zugangsprivilegien über Credential-Injection-Technologie für den Remote-Support-Helpdesk.
Wie bewerten Sie die Zusammenarbeit zwischen IT-Sicherheitsexperten und Entscheidern in Ihrem Haus? Haben Sie sich schon einmal persönlich mit Fachfragen an Security-Profis gewandt? Mein Rat ist: Suchen Sie das Gespräch! Stellen Sie Fragen! Ordnen Sie Sicherheitsfragen höchste Priorität zu und leisten Sie einen wertvollen Beitrag für den Schutz Ihrer Organisation.
