}

Onboarding-Risiken im Unternehmen überwinden

Wir wollen am liebsten einen Schlüssel, der zu jedem Schloss passt. Daher machen wir es uns so leicht wie möglich. Der Mensch tendiert zur Einfachheit. Das Resultat sind oft unsichere Passwörter. „Worst-Password“-Studien sind erheiternd und erschreckend zugleich, da gehören „qwertz“ oder 123456 tatsächlich zu den Ranglistenführern. Das ist bekannt.

Passwort Login

Aber: Wissen wir auch, wo unsere Unternehmen am verwundbarsten sind, wenn es um die Vergabe und Verteilung von Passwörtern geht?

Der Moment, wenn neue Mitarbeiter im Unternehmen starten. Beim sogenannten Onboarding müssen neue Benutzerkonten angelegt werden. Das kann sicherheitstechnisch äußerst kritisch sein. Selbst Unternehmen mit den strengsten Sicherheits-, Identitätsverwaltungs- und Administrationsrichtlinien sowie Passwortleitfäden unterschätzen oder übersehen die großen Risiken.

1) Initialkennwort – auf die Formel kommt es an

Viele Unternehmen verwenden beim Erstellen neuer Konten eine simple Formel für Standardkennwörter: Kombiniere die ersten beiden Buchstaben deines Vornamens mit dem Geburtsjahr und dem Nachnamen und fertig ist das Kennwort ("Pe1972Mueller"). Einige Unternehmen verwenden sogar das gleiche Standardpasswort für jedes einzelne neue Benutzerkonto. Nicht selten dürfen sich alle Mitarbeiter zum Beispiel zunächst mit dem Kennwort „neuermitarbeiter“ anmelden, bevor sie ein eigenes generieren können. Dass diese Praxis grob fahrlässig ist und Tür und Tor für Missbrauch mit Daten und Systemen öffnet, liegt auf der Hand. Und dann kann man noch froh sein, wenn diese Schwachstelle nur für Späße oder Streiche genutzt wird und nicht, um dem Unternehmen oder  Mitarbeiter zu schaden.

2) Wie erfährt der neue Mitarbeiter sein Initialpasswort?

Auch die Vermittlung und Weitergabe von Passwörtern stellt ein Sicherheitsrisiko dar. Wie werden die neuen Konten und Passwörter an Mitarbeiter weitergegeben? Kommt ein Kollege aus der IT am ersten Tag persönlich bei Ihnen vorbei und übergibt die Passwörter beispielsweise in einem geschlossenen Umschlag? Die Realität sieht oft anders aus: Passwörter werden an die Teamleiter oder Vorgesetzten geschickt – und die sollen sie einfach an die neuen Mitarbeiter weitergeben. Oder es wird die private E-Mailadresse des neuen Mitarbeiters genutzt, um das Passwort schnell zuzuschicken. Üblich ist auch ein Post-It-Zettel auf der Tastatur.

Lupe

 

 

 

3) Verwaiste Konten sind Sicherheitsrisiken

In vielen IT-Abteilungen gehört die massenhafte Erstellung von Konten für neue Benutzer zur täglichen Arbeit – für Saisonarbeiter oder Auszubildende, Praktikanten und Studentische Aushilfen. Wenn die Aushilfskraft das Unternehmen nach wenigen Wochen wieder verlässt, gibt es häufig keine Routinen oder Möglichkeiten zu überprüfen und zu überwachen, ob Konten überhaupt aktiviert wurden. Verwaiste Benutzerkonten in der Organisation, auf die eventuell noch keiner zugegriffen hat, bilden aber ein enormes Sicherheitsrisiko – vor allem dann, wenn niemand weiß, dass sie existieren.

Tools4ever Tipps im Umgang mit dem Onboarding von Mitarbeitern im Unternehmen

Es gibt einfache Regeln bei der Einrichtung neuer Benutzerkonten, durch die sich die Sicherheitsrisiken deutlich minimieren lassen:

  • Initialpasswörter zufällig generieren

Neue Passwörter sollten zufällig generierte Zeichenketten sein. Kollegen dürfen sie nicht erraten können. Starke Passwortgeneratoren können hier gute Dienste leisten, damit „qwertz“ endgültig der Vergangenheit angehört

Sichern Sie Ihren Onboarding-Prozess für Neueinstellungen. Das Account Claiming-Modul von SSRPM schließt die Sicherheitslücke, die Ihre Onboarding-Prozesse untergräbt – die Übertragung von Konten und Anmeldeinformationen an neue Benutzer.

  • IAM für Übersicht und Kontrolle

Verwenden Sie eine professionelle Identity- und Accessmanagementlösung On Premise oder in der Cloud schon für den Login eines neuen Benutzers. So können sie alle Schritte des Onboarding-Prozesses im Konto überwachen und einschränken. Nicht aktivierte, verwaiste Konten sind mit IAM leicht zu identifizieren.

  • Passwort getrennt weitergeben

Passwörter sind Geheimnisse und sollten möglichst auf direktem Weg übermittelt werden. Am besten ist ein geschlossener Umschlag, der persönlich übergeben wird.

  • Schwachstellen Check

Begutachten und testen Sie den kompletten Prozess von der Passworterstellung (Formel) über die Passwortweitergabe und  erste Eingabe bis zum Wechsel des Passworts nach dem ersten Login. So erkennen sie ganz schnell sicherheitsrelevante Schwachstellen.

 

Beratungsgespräch

 

Die beste Lösung ist ein professionelles Identity- und Accessmanagement-System. Dies bietet optimalen Schutz und Sicherheit. Gerne können Sie Ihre direkten Herausforderungen im Onboarding-Prozess mit einem der Berater oder Kundenbetreuer von Tools4ever besprechen und lösen. Schreiben Sie mir einfach oder rufen  mich an und wir vereinbaren ein gemeinsames Beratungsgespräch.

 

 

Tools4ever Magazin

3 Tipps – Sicheres Passwortmanagement in Ihrem Unternehmen

Ihr Unternehmen besitzt bereits ein Identity and Access Management System. Sie haben die Benutzerverwaltung bestens im Griff und auch eine Single Sign-On Lösung kommt bei Ihnen erfolgreich zum Einsatz. Doch diese Lösungen sind natürlich nur sicher, wenn Sie auch ein komplexes Passwort verwenden. Oft wählen Mitarbeiter aber ein einfaches Passwort, um sich dieses besser merken zu können. Um mehr Sicherheit zu gewährleisten, verraten wir Ihnen drei Methoden, um das Risiko zu minimieren und die Standards zu erfüllen (NEN 7510 usw.)

Lesen Sie mehr

Cloudbasiertes Access Management einfach erklärt – Keine Angst vor der Cloud!

HelloID ist eine Software as a Service-Lösung (SaaS) für cloudbasiertes Access Management, die Identity as a Service (IDaaS) mit einer Single-Sign-On-Funktion (SSO) für Cloud-Anwendungen inklusive Passwort-Management-Funktionalitäten bietet. Aber keine Angst! Bevor Sie jetzt nur noch Fragezeichen im Kopf haben, lassen Sie mich zurückgehen und erklären, was diese Begriffe wirklich bedeuten.

Lesen Sie mehr

Die Notwendigkeit von Zugriffskontrolle für die DGSVO

Im Themenspecial Analyse: Digitalisierung, das am 22.09.2017 in DIE WELT beilag, gibt Tools4ever-Geschäftsführer Jan Pieter Giele ein Interview zur Notwendigkeit von Zugriffskontrolle im Rahmen der neuen DSGVO. Lesen Sie hier, warum es so wichtig ist, sich jetzt durch strukturiertes Berechtigungsmanagement um Ihre Datensicherheit zu kümmern.

Lesen Sie mehr

Cyber Sicherheit – wie Sie als Organisation Sicherheitslücken aufdecken können mithilfe von Identity & Access Management

Um sich vor Hacker-Angriffen zu schützen, muss man denken wie einer - Täglich liest man von neuen Attacken auf Unternehmen und Konzerne, die gehackt wurden und dabei zahlreiche Unternehmensdaten nach außen gelangt sind. Als IT-Abteilung versucht man daher alles Mögliche, genau dies zu verhindern. Es gibt jedoch die unterschiedlichsten Arten und Weisen von Cyber-Attacken. Doch wie soll präventiv gegen Cyber Sicherheit voran gegangen werden, wenn intern noch reichlich strukturelle Maßnahmen wie Passwortmanagement, Benutzerverwaltung u.v.m. fehlen? Wie Identity & Access Management ihre Organisation unterstützen kann – Lesen Sie mehr…

Lesen Sie mehr

Wenn der Ex noch Schlüssel hat: Das Risiko offener Zugänge nach dem Offboarding von Mitarbeitern?

Die Rotweingläser schimmern im Licht einer Kerze. Eingekuschelt in Decken und Kissen starten sie einen romantischen Film. Intime Momente – privat und nicht öffentlich ... Doch plötzlich dreht sich ein Schlüssel im Haustürschloss. Die Tür geht auf und der Ex-Partner steht mitten in der Wohnung. Unglaublich? Vielleicht, aber auch Realität. Denn bei einer Trennung ist die Rückgabe von Schlüsseln oder der Austausch von Schlössern oft das Letzte, woran die ehemaligen Partner denken. Das gilt auch im Arbeitsalltag. Nicht selten haben Ex-Mitarbeiter nach ihrem Ausscheiden (Offboarding) noch Zugänge zu den Räumen aber vor allem zu den IT-Systemen, Datenbanken und Netzwerken des ehemaligen Arbeitgebers. Auch wenn die Büroschlüssel fast immer kontrolliert eingezogen werden - die digitalen Schlüssel „passen“ oft noch über Tage und Wochen in die IT-Schlösser des Unternehmens – und manchmal bleiben so Zugänge für immer.

Lesen Sie mehr