info@genesis.swiss    |   +41 31 560 35 35

40 Prozent der Unternehmen nutzen unsichere, fehlerbehaftete Passwort-Speicherung

blog_1906_image_2560x400

40 Prozent der Unternehmen nutzen unsichere, fehlerbehaftete
Passwort-Speicherung

Veröffentlicht: 25.10.2019 | Autor: Gerhard Bartsch | ID: B1906

Blog Abonnieren

Zürich, Oktober 2019 – Laut einer neuen Umfrage von CyberArk nutzen immerhin rund 60% der befragten Unternehmen eine Privileged-Access-Management-Lösung. Im Umkehrschluss setzen damit weiterhin 40% auf manuelle, unsichere und fehlerbehaftete Verfahren für die Speicherung von privilegierten und administrativen Passwörtern.

Der aktuelle „CyberArk Global Advanced Threat Landscape 2019 Report“ hat schwerpunktmässig die Themen Privileged-Access-Management-Strategien und -Lösungen im Unternehmenseinsatz untersucht. Dabei hat sich ergeben, dass 60% der befragten Unternehmen in Deutschland eine dedizierte Privileged-Access-Management-Lösung nutzen. Die restlichen Unternehmen setzen hingegen auf Verfahren wie die Speicherung von Passwörtern in Word- oder Excel-Dokumenten auf Shared-Servern, Notebooks oder auf USB-Sticks. Ein regelmässiger, manueller Wechsel der Passwörter ist damit quasi unmöglich. Schliesslich sind bei Unternehmen oft Hunderte von Systemen zu berücksichtigen, auf die mit privilegierten Zugangsdaten zugegriffen wird. Ausserdem sind manuelle Prozesse nicht nur zeitaufwendig, sondern auch äusserst fehlerbehaftet – und zuerst einmal müssen sie in der Praxis überhaupt eingehalten werden; Papier ist bekanntermassen geduldig. Die damit verbunden Sicherheitsgefahren liegen auf der Hand.

Zudem zeigt der Report ein weiteres beunruhigendes Ergebnis: Nach wie vor ist Unternehmen vielfach nur unzureichend bekannt, in welchen IT-Bereichen sich privilegierte Accounts und Zugangsdaten überhaupt befinden. Nur 40% nannten Desktops, Notebooks und mobile Geräte, 37% IoT, 36% geschäftskritische Applikationen wie ERP- oder CRM-Systeme und 34% IaaS- und PaaS-Umgebungen. Allerdings finden sich privilegierte Accounts und Zugangsdaten in allen genannten Bereichen.

Dementsprechend verfolgen Unternehmen auch in vielen Segmenten keine Privileged-Access-Management-Strategie. Die niedrigsten Werte weisen mit 21% Industrial Control Systems, mit 30% Netzwerkgeräte wie Drucker, Kopierer oder Faxgeräte und mit 33% IoT-Geräte auf.

Schliesslich ging der Report auch der Frage nach, wie Unternehmen die aktuelle Bedrohungslage einschätzen. Für das derzeit grösste Sicherheitsrisiko halten in Deutschland:

  • 63% Phishing
  • 46% Ransomware und Malware
  • 42% Schatten-IT
  • 37% Cloud-Management
  • 33% Insider-Attacken

„Bei unserer Untersuchung zum Thema Privileged Access Management ist vor allem die Unkenntnis hinsichtlich des Verbreitungsgrades privilegierter Benutzerkonten und Zugangsdaten besorgniserregend. Für Angreifer besteht dadurch oft ein leichtes Spiel, denn sie kennen diese Schwachstellen offenbar besser als die Unternehmen“, erklärt Gerhard Bartsch, Head of Security bei Genesis Swiss Team AG. „Ohne eine durchgängige Privileged-Access-Management-Strategie, die zentrale Einfallstore für Angriffe schliesst, bleibt ein Unternehmen hochgradig gefährdet.“

„Phishing und Ransomware zählen nach wie vor zu den grössten Bedrohungen, das heisst, die Endgeräte der einzelnen Anwender müssen einen maximalen Schutz aufweisen“, so Bartsch. „Und dabei führt an zwei Massnahmen kein Weg vorbei. Zum einen müssen die lokalen Administratorrechte den Standardanwendern entzogen werden, um Angreifern im Fall einer Systemkompromittierung möglichst wenig Handlungsmöglichkeiten zu gewähren. Zum anderen sollte auch eine Anwendungssteuerung genutzt werden, die die Ausführung schädlicher Programme verhindert.“

Gerhard Bartsch, Head of Security
Genesis Swiss Team AG

Über den CyberArk Advanced Threat Landscape 2019 Report

CyberArk hat die globale Umfrage „Advanced Threat Landscape“ zum zwölften Mal durchgeführt. Im Auftrag von CyberArk hat das Marktforschungsunternehmen Vanson Bourne dabei 1.000 IT-Security-Entscheider und C-Level-Führungskräfte in Deutschland, Frankreich, Grossbritannien, Israel, den USA, Australien und Singapur zu Themen rund um Cybersecurity befragt.

Download des Reports

Report herunterladen

Kontakt

Telefon +41 31 560 35 35
Fax +41 31 560 35 45
info@genesis.swiss

Hotlinks

Jobs
Über Uns
News
Newsletter

Rechtliches

Impressum
Datenschutzerklärung
Cookie-Richtlinie
Allgemeine Geschäftsbedingungen

News

Düsseldorf, 13. Dezember 2024 – CyberArk, das führende Unternehmen für Identity Security, hat mit FuzzyAI ein innovatives quelloffenes Framework vorgestellt, das bislang für jedes getestete KI-Modell einen Jailbreak gefunden hat. Es hilft Unternehmen, Schwachstellen in ihren KI-Modellen zu identifizieren und zu beheben, etwa das Umgehen von Guardrails oder die Generierung von schädlichen Inhalten. FuzzyAI lässt sich auf alle KI-Modelle anwenden, die in der Cloud und intern gehostet werden. Auf der Black Hat Europe 2024 hat CyberArk die Fähigkeiten des Tools demonstriert.  KI-Modelle sind die Basis für innovative Anwendungen zur Interaktion mit Kunden sowie zur Verbesserung und Automatisierung interner Prozesse. Sie transformieren die Wirtschaft, doch der Einsatz der Modelle geht mit neuen Herausforderungen im Sicherheitsbereich einher, auf die die meisten Unternehmen nicht vorbereitet sind. FuzzyAI hilft ihnen, diese Herausforderungen zu bewältigen, indem es einen systematischen Ansatz für das Testen von KI-Modellen gegen verschiedene gefährliche Eingaben liefert. Auf diese Weise deckt es potenzielle Schwächen in den Sicherheitssystemen des Modells auf und macht die Entwicklung und die Bereitstellung von KI sicherer. Herzstück von FuzzyAI ist ein sogenannter Fuzzer – ein Tool, das Software-Defekte und Software-Schwachstellen aufspürt. Es versteht sich auf mehr als zehn verschiedene Angriffstechniken, vom Umgehen ethischer Filter bis hin zur Aufdeckung versteckter System-Prompts. Die wichtigsten Funktionen von FuzzyAI sind: Umfassendes Fuzzing: FuzzyAI testet KI-Modelle mit verschiedenen Angriffstechniken, um Schwachstellen zu entdecken, etwa das Umgehen von Guardrails, Informationslecks, Prompt Injections oder die Generierung schädlicher Inhalte. Erweiterungsmöglichkeiten: Unternehmen und Forscher können das Framework um eigene Angriffsmethoden erweitern, um die Tests auf domänenspezifische Schwachstellen zuzuschneiden. Zusammenarbeit in der Community: Eine wachsende Community sorgt für eine kontinuierliche Weiterentwicklung von Angriffstechniken und Abwehrmechanismen. „Der Start von FuzzyAI unterstreicht das Engagement von CyberArk für KI-Sicherheit und bringt Unternehmen einen großen Schritt weiter beim Beheben von Sicherheitsproblemen, die mit der zunehmenden Nutzung von KI-Modellen einhergehen“, betont Peretz Regev, Chief Product Officer bei CyberArk. „FuzzyAI wurde in den CyberArk Labs entwickelt und hat seine Fähigkeit, einen Jailbreak in jedem getesteten Modell zu finden, bereits unter Beweis gestellt. Damit versetzt es Unternehmen und Forscher in die Lage, Schwachstellen zu identifizieren und KI-Systeme aktiv gegen neue Bedrohungen zu stärken.“
Join Pentera's “How-to” webinars, specifically designed for our customers. These sessions are an excellent resource to help you expand your use of the Pentera platform, apply it to a wider range of security validation use cases, and understand its applications in real-world security scenarios. In the upcoming sessions, our Pentera experts will guide you through the following topics: January 29 | Lateral movement and Privilege Escalation - Discover how attackers exploit lateral movement and privilege escalation to compromise networks. In this webinar, we’ll examine real-world attack scenarios, demonstrate how Pentera validates defenses, and share actionable tips to boost your security. March 12 | How and When to Use Attack Bridges - In this webinar, we’ll demonstrate how Pentera’s attack bridges extend Layer 2 penetration testing to remote segments, and provide actionable insights to optimize your security validation efforts. These webinars are specifically tailored for security practitioners and IT security experts that use Pentera. You're welcome to join one or multiple sessions.

Copyright 2021 GENESIS Swiss Team AG

Loading...