Identity-Management-Day 2025 – Tipps, wie Unternehmen die digitalen Identitäten ihrer Mitarbeiter besser absichern können

Am 8. April begeht die Cybersicherheitsbranche den Identity-Management-Day – ein Denkanstoß für Unternehmen, der Sicherheit der digitalen Identitäten ihrer Mitarbeiter die Priorität beizumessen, die sie verdient. Der Schutz von Zugangsdaten und persönlichen Informationen ist heute wichtiger denn je. Sind doch Deepfakes, synthetische Identitäten und ausgeklügelte Cyberangriffe mittlerweile weit verbreitet.

Da nach wie vor der Mensch im Fokus von Cyberangriffen steht, da 70 bis 90 Prozent aller Sicherheitsverletzungen durch Social-Engineering- und Phishing-Angriffe entstehen, haben sich die auf das Cybersicherheitsbewusstsein spezialisierten Experten von KnowBe4 dazu entschlossen, zum Identity-Management-Day die wichtigsten diesbezüglichen Tipps und Ratschläge zusammenzutragen – um Unternehmen dabei zu helfen, die digitalen Identitäten ihrer Mitarbeiter besser vor einem Diebstahl abzusichern.

Anna Collard, SVP of Content Strategy und Security Awareness Advocate

• 

  Setzen Sie auf Zero-Trust: Prüfen Sie stets, anstatt zu vertrauen – auch wenn eine Nachricht von einem scheinbar bekannten Kontakt stammt.

• Nutzen Sie Phishing-resistente MFA: Setzen Sie auf Phishing-resistente Multi-Faktor-Authentifizierungen (MFA). Ergänzen Sie diese durch zusätzliche Sicherheitsebenen, wie biometrische Verfahren (Fingerabdruck, Gesichtserkennung) und kontextbezogene Risikoanalysen (Standort, Gerätezustand, Zeitpunkt des Zugriffs).
• Schulen Sie das Sicherheitsbewusstsein Ihrer Mitarbeiter: Führen Sie regelmäßig Security Awareness-Schulungen durch, um Ihre Mitarbeiter für die manipulativen Taktiken von Social Engineering-Angriffen zu sensibilisieren. Das Erkennen von Phishing-E-Mails, Smishing (SMS-Phishing), Vishing (Voice-Phishing) und anderen Phishing- und Social Engineering-Techniken muss trainiert werden.
• Stop, Breathe, Question: Bringen Sie Ihren Mitarbeitern bei, stets zur Ruhe zu kommen, tief durchzuatmen und Anfragen auf ihre Legitimität zu überprüfen – bevor sie auf einen Link klicken, einen Anhang öffnen oder jemandem Zugang gewähren.

Javvad Malik, Lead Security Awareness Advocate

• 

  Priorisieren Sie Sicherheit und Nutzerfreundlichkeit: Implementieren Sie einen nutzerzentrierten Sicherheitsansatz, der sicherstellt, dass alle Mitarbeiterinnen und Mitarbeiter einfach und sicher auf die benötigten Ressourcen zugreifen können, der Vertraulichkeit, Integrität und Verfügbarkeit sämtlicher sensibler Daten wahrt. Dazu gehören die Straffung der Authentifizierungsprozesse, die Minimierung der Reibungsverluste und die Bereitstellung klarer Anweisungen, die die Nutzer durch die Sicherheitsprotokolle führen.

• Machen Sie Ihre Sicherheitsmaßnahmen leicht verständlich: Informieren Sie Ihre Mitarbeiter über die praktischen Vorteile Ihrer Sicherheitsmaßnahmen. Betonen Sie dabei, dass diese sowohl Unternehmensdaten als auch persönliche Daten schützen. Verwenden Sie eine klare und prägnante Sprache, anschauliche Beispiele und interaktive Elemente, um die Nutzer zu motivieren und eine starke Sicherheitskultur zu fördern.
• Authentifizieren Sie Ihre Nutzer kontinuierlich: Implementieren Sie fortschrittliche Authentifizierungsmechanismen, die Nutzer kontinuierlich anhand von Verhaltensmustern, wie Tippgeschwindigkeit, Mausbewegungen und Standortdaten, überprüfen. So kann unbefugter Zugriff selbst dann erkannt und verhindert werden, wenn die Anmeldedaten kompromittiert wurden.
• Achten Sie auf das Vorhandensein einer Self Service-Funktionalität: Unterstützen Sie Ihre Nutzer durch Self Service-Funktionen, wie Self Service-Portale, über die Ihre Mitarbeiter eigenständig ihre Konten verwalten und Passwörter zurücksetzen können. Dies reduziert Verzögerungen und Frustrationen, verbessert die Nutzerzufriedenheit und gewährleistet, dass alle Anwender stets auf kritische Ressourcen zugreifen können.

Dr. Martin J. Krämer, Security Awareness Advocate

• 

  Geben Sie stets nur das Nötigste frei: Das Hochladen von persönlichen Dokumenten, wie etwa Reisepässen, über das Internet ist bei verschiedenen Dienstleistungen, wie der Eröffnung eines Bankkontos, immer häufiger die Norm. Auch wenn dies praktisch sein kann, ist Vorsicht geboten. Geben Sie sensible Informationen nur dann weiter, wenn es absolut notwendig ist – und auch dann nur an legitime Parteien. Prüfen Sie stets die Rechtmäßigkeit der Anfrage und der anfragenden Organisation, bevor Sie personenbezogene Daten weitergeben. Wenn Sie ohne triftigen Grund nach sensiblen Informationen gefragt werden oder Ihnen etwas verdächtig vorkommt, geben Sie Ihre Daten nicht weiter.

• Achten Sie auf Ihr Online-Verhalten: Social Media-Plattformen und andere Online-Dienste verfolgen Ihr Online-Verhalten, um von Ihnen detaillierte Profile zu erstellen. Diese Profile enthalten Informationen über Ihr Verhalten, Ihre Interessen und Vorlieben, die dann für gezielte Werbung oder andere Zwecke verwendet werden können. Wenn es Ihnen unangenehm ist, dass andere über Ihre Online-Aktivitäten Bescheid wissen, sollten Sie gut auf diese Acht geben. Denken Sie darüber nach, Ihre Datenschutzeinstellungen anzupassen, die Informationen, die Sie weitergeben, einzuschränken und die Websites und Dienste, die Sie nutzen, sorgfältig auszuwählen. Denken Sie daran, dass Ihr digitaler Fußabdruck für Sie langfristige Folgen haben kann.

James McQuiggan, Security Awareness Advocate

• 

  Geben Sie Ihren Mitarbeitern eine Möglichkeit, Verdächtiges zu melden: Viele Mitarbeiter zögern, verdächtige Logins, unerwartete MFA-Anforderungen oder Phishing-Versuche zu melden, weil sie Angst vor Schuldzuweisungen und unklaren Prozessen haben oder negative Erfahrungen mit dem IT-Support gemacht haben. Es ist wichtig, eine Sicherheitskultur zu fördern, in der schnelles Melden eher belohnt als bestraft wird. Integrieren Sie nutzerfreundliche Meldemechanismen, wie etwa One Click-Buttons und SSO-Portale (Single Sign-On). Stellen Sie sicher, dass das Meldeverfahren für Phishing, Login-Missbrauch und MFA-Müdigkeit einfach, schnell und unparteiisch ist.

• Optimieren Sie Ihre Vorfalls-Reaktion: Nutzen Sie Ihre Auswertungen von Vorfalls-Reaktionen als Möglichkeit zu lernen – nicht, um Schuld zuzuweisen. Stellen Sie sicher, dass das Support-Team möglichst schnell auf gemeldete Vorfälle reagiert, um das Vertrauen der Nutzer zu stärken.
• Halten Sie Ihre IT- und Cybersicherheitsteams stets up to date: Halten Sie sich über Trends bei Initial Access Brokern (IABs) und Stealer-Malware auf dem Laufenden. Überwachen Sie Untergrundforen und -märkte auf offengelegte Unternehmensregistrierungsdaten und Informationen zu Tools, Techniken und Verfahren (TTPs) von Angreifern.
• Optimieren Sie Governance, Risikomanagement und Compliance: Richten Sie einen Prozess zur regelmäßigen Erfassung, Kennzeichnung und Analyse von Stealer-Protokollen ein, um gefährdete Anmeldedaten von Mitarbeitern zu identifizieren (insbesondere solche mit gespeicherten Browser-Sitzungen oder Cookies). Teilen Sie Ihre Erkenntnisse mit IT- und Cybersicherheitsteams, um Fälle mit hohem Risiko zu priorisieren.
• Verbessern Sie Ihre Bedrohungsanalyse-Teams: Vergleichen Sie Ihre Erkenntnisse mit den MITRE ATT&CK-Techniken (z. B. T1556, T1539), um Ihre Abwehrstrategie zu verbessern.

Erich Kron, Security Awareness Advocate

• 

  Verwenden Sie Ihre Passwörter nicht mehrfach: Um sich in fremde Konten einzuloggen, setzen Angreifer bei Credential Stuffing-Angriffen auf automatisierte Tools und gestohlene Anmeldedaten. Die Wiederverwendung von Passwörtern auf mehreren Plattformen macht Mitarbeiter und Unternehmen besonders angreifbar. Wenn dann ein Konto kompromittiert wird, sind gleich alle Konten, da sie ja dasselbe Passwort verwenden, gefährdet.

Roger A. Grimes, Data-driven Defense Evangelist

• 

  Nutzen Sie Phishing-resistente MFA: Dies ist Ihre sicherste Authentifizierungs-Option, da Sie sie gegen gängige Social Engineering-Angriffe, wie etwa Phishing-Betrug, schützt. Beispiele sind etwa Hardware-Sicherheitsschlüssel und biometrische Verfahren, wie Fingerabdruck- und Gesichtserkennung. Sie erfordern etwas, das Sie besitzen (den Hardware-Schlüssel) oder etwas, das Teil Ihres Körpers ist (Ihre Biometrie), was es Angreifern erheblich erschwert, sich fälschlich als Mitarbeiterin oder Mitarbeiter Ihres Unternehmens auszugeben.

• Setzen Sie auf mehrstufige Authentifizierungen: Sofern Ihnen eine Phishing-resistente mehrstufige Authentifizierung nicht möglich ist, ist eine einfache mehrstufige Authentifizierung immer noch besser als keine. Beispiele hierfür sind SMS-basierte Authentifizierungen, von einer Anwendung generierte zeitbasierte Einmalpasswörter (TOTP) oder auch Push-Benachrichtigungen an ein vertrauenswürdiges Gerät. Diese Methoden sind zwar nicht so sicher wie eine Phishing-resistente mehrstufige Authentifizierung, bieten aber doch eine zusätzliche Schutzebene für Ihre Konten.
• Verwenden Sie einen Passwort-Manager: Verwenden Sie einen vertrauenswürdigen Passwort-Manager, um sichere, eindeutige Passwörter für jede Website und jeden Dienst zu erstellen und zu verwalten. Passwort-Manager generieren komplexe Passwörter, die kaum zu erraten sind, und speichern sie sicher, sodass Sie sich nicht alle merken müssen. Viele Passwortmanager bieten auch Funktionen wie das automatische Ausfüllen und die Freigabe von Passwörtern, was Ihnen Zeit spart und Ihre Sicherheit erhöht.
• Setzen Sie auf sichere, einzigartige Passwörter: Wenn Sie keinen Passwort-Manager verwenden können, erstellen Sie sichere Passwörter oder Passphrasen, die mindestens 20 Zeichen lang sind. Ein sicheres Passwort sollte eine Mischung aus Groß- und Kleinbuchstaben, Zahlen und Symbolen enthalten. Vermeiden Sie leicht zu erratende Informationen wie Ihren Namen, Ihr Geburtsdatum oder den Namen Ihres Haustiers. Am wichtigsten ist, dass Sie Passwörter niemals für verschiedene Websites oder Dienste wiederverwenden.

Durch die Umsetzung dieser Strategien können Unternehmen Ihr Risiko, Opfer eines Identitätsdiebstahls, der Kompromittierung von Zugangsdaten oder von Phishing- und Social-Engineering-Angriffen zu werden, erheblich reduzieren. Ihre Mitarbeiter und ihre Daten sind dann effektiv geschützt.

#KnowBe4