In Sachen Sicherheit richten Entscheider ihren Blick zunehmend auf die eigene Belegschaft. Angesichts einer wachsenden Zahl mobiler Mitarbeiter und einer nachwachsenden "Generation Y", die mit größter Selbstverständlichkeit Privates und Berufliches am Arbeitsplatz vermischt, müssen sie das auch.
Als neues Leitmotiv gibt Aberdeen das Stichwort Flexibilität vor. Konkret heißt das für den Verantwortlichen: Welche Gruppen von Nutzern dürfen wann zu welchen Anwendungen, Netzen und Portalen Zugang haben? Ziel muss eine Lösung sein, die nach dem Motto arbeitet: "Sag mir, wer du bist, und ich sage dir, was du darfst." Soweit die Theorie. In der Praxis gestalten sich die Dinge nicht so einfach.
In der Studie teilt Aberdeen die Unternehmen in "Best in class", Durchschnitt und Trödler ("Laggards") ein. Kriterien sind die Zahl Sicherheits-relevanter und Compliance-relevanter Vorfälle, menschlicher Fehler, Anfragen beim Help Desk und Gesamtkosten in Fragen der Nutzer-Authentifizierung.
Die Unterschiede sind enorm. Ein paar Zahlen: 52 Prozent der BiCs konnten die Häufigkeit der Sicherheits-relevanten Vorfälle senken. Von den Durchschnittsfirmen sind es nur drei Prozent - während 31 Prozent der Trödler sogar mehr Vorfälle beobachten mussten.
Und während sich 36 Prozent der Musterschüler über Kostensenkungen freuen können, mussten im Schnitt fünf Prozent der Firmen tiefer in die Tasche greifen - von den Trödlern 31 Prozent.
So unterschiedlich wie die Ergebnisse sind auch die Strategien, mit anderen Worten: Von Nichts kommt nichts. Beispielsweise kombinieren 57 Prozent der BiCs User-Name und Passwort mit einer weiteren Methode, 19 Prozent mit zwei. Im Schnitt tut das lediglich jedes dritte Unternehmen (User-Name/Passwort und eine weitere Methode) beziehungsweise elf Prozent (User-Name/Passwort und zwei weitere Methoden).
Zum Vergleich: Fast zwei Drittel (64 Prozent) der Laggards arbeiten immer noch nur mit User-Name und Passwort.
Die vielen Möglichkeiten der Authentifizierung
Weitere Methoden der Absicherung sind OTP, digitale Zertifikate, Device Authentification, Biometrie (Fingerabdruck/Stimme), konvergierte Karten (digitale und physische Sicherheit) und Smart Cards.
Hintergrund ist die Relevanz, die dem Thema innerhalb des jeweiligen Unternehmens zugestanden wird. Und auch da zeigen sich Diskrepanzen: Gut drei Viertel (76 Prozent) der BiCs haben zum Beispiel Policies für die Nutzer-Authentifizierung festgeschrieben, im Schnitt sind es nur 62 Prozent (Laggards: 36 Prozent).
68 Prozent der mustergültigen Unternehmen bestimmen einen Verantwortlichen, der für die Authentifizierung der User den Hut aufhat. In mehr als jedem Zweiten (52 Prozent) gibt es außerdem einen Einzelnen oder ein Team, das das Lifecycle Management der Berechtigungsnachweise verantwortet. Ebenso viele schulen ihre Mitarbeiter rund um diese Fragen.
Der CSO will entscheiden, der CIO soll arbeiten
Bei aller guten Organisation - Probleme gibt es dennoch. So berichtet einer der Studienteilnehmer von Schwierigkeiten zwischen Chief Security Officer (CSO) und CIO. Der CSO wolle zwar alle Entscheidungen treffen und sämtliche Policies festlegen, die operative Verantwortung schiebe er dann aber auf den CIO ab.
Außerdem gilt es als "Herausforderung" - was hier wohl als Euphemismus für Problem verstanden werden darf - sämtliche Zugänge zu all den Anwendungen und Daten, Systemen, Portalen und Netzen für jeden einzelnen User zu überprüfen. Und das für den Platz im Büro wie den Fernzugriff, für festangestellte wie freie Mitarbeiter und vielleicht auch noch Outsourcing-Partner.
"One size fits all" hat also ausgedient. User-Authentifizierung muss heute flexibel gemanagt werden.
Aberdeen hat für die Studie "Strong User Authentication" mit Entscheidern aus 150 Unternehmen in den USA und Europa gesprochen.