Für die Wartung kritischer interner Systeme und Ressourcen nutzt fast jedes Unternehmen die Services einer Vielzahl von Drittanbietern. 89% sind dabei mit der eigenen Verwaltung und Sicherung privilegierter externer Zugriffe auf kritische interne Systeme unzufrieden.
CyberArk hat in einer globalen Studie 130 Unternehmen zur 3rd-Party-Nutzung befragt. 90% geben an, dass sie Drittanbietern den Zugriff auf kritische interne Ressourcen ermöglichen. Mehr als ein Viertel (26%) bezieht sogar Services von über 100 Drittanbietern. Dementsprechend müssen die Unternehmen eine extrem hohe Zahl an Accounts verwalten und sichern.
Für die Sicherung des Zugriffs setzen die Befragten eine Vielzahl unterschiedlichster Lösungen ein – und zwar häufig in Kombination. Genannt werden VPN-Unterstützung, Multi-Faktor-Authentifizierung, zur Verfügung gestellte Firmen-Notebooks, Verzeichnisdienste oder Agenten. Dadurch besteht zum einen ein hoher Verwaltungsaufwand und zum anderen ist ein sicherer und komfortabler Zugriff auch nur bedingt realisierbar.
Für fast drei Viertel (72%) der Unternehmen gehört der Zugriff Dritter zu den grössten Sicherheitsrisiken. Und die deutliche Mehrheit der Befragten vertritt die Auffassung, dass das eigene Unternehmen in punkto Verwaltung und Sicherung des externen Zugriffs nicht gut aufgestellt ist: 89% der Befragten sind damit „unzufrieden“ beziehungsweise „völlig unzufrieden“.
Doch was sind die Gründe für die Probleme der Unternehmen bei der Sicherung externer Zugriffe? 50% sehen dabei die Provisionierung und Deprovisionierung als grösste Herausforderung, gerade auch hinsichtlich des Umfangs und der Dauer einer Zugriffsmöglichkeit. Zum einen darf nicht zu viel Zugriff gewährt werden: Externe dürfen keinen Zugang zu Systemen und Daten erhalten, die sie nicht benötigen. Ausserdem sollten ihnen Zugriffrechte auch nicht länger als nötig eingeräumt werden. Zum anderen darf auch nicht zu wenig Zugriff gewährt werden, denn dann besteht die Gefahr, dass Externe gezwungen sind, unsichere Backdoor-Routinen zu kritischen Ressourcen zu erstellen.
Die Probleme sind nach Einschätzung von CyberArk auf die genutzten Lösungen zurückzuführen. 86% der Unternehmen setzen auf VPN-Anwendungen, die allerdings nicht für die Verwaltung dynamischer privilegierter und rollenbasierter Zugriffe oder ein Session Recording konzipiert sind. Dadurch können Unternehmen auch nicht nachvollziehen, was ein Drittanbieter konkret tut, sobald er authentifiziert ist. Und das ist ein ernsthaftes Problem: Schliesslich fordern Audit- und Compliance-Vorgaben oft eine Aufzeichnung, Protokollierung und Überwachung privilegierter Aktivitäten.