Aus Sicht der Versicherer reduzieren starke Identitätskontrollen die Wahrscheinlichkeit, dass ein einzelnes kompromittiertes Konto zu großflächigen Störungen oder Datenverlusten führt. Das stützt nachhaltigere Zeichnungsentscheidungen. Entscheidend ist dabei oft weniger das Vorhandensein einzelner technischer Maßnahmen als der Nachweis, dass eine Organisation die Risiken versteht und aktiv steuert. Regelmäßige Audits der Passwort-Hygiene und der Offenlegung von Anmeldedaten belegen diese Reife.
Trotz wachsender Verbreitung von MFA und passwortlosen Ansätzen spielen Passwörter weiterhin eine zentrale Rolle bei der Authentifizierung. Unternehmen sollten daher gezielt jene Verhaltensweisen und Schwachstellen im Blick behalten, die den Diebstahl und Missbrauch von Anmeldedaten begünstigen.
Ein zweiter Schwerpunkt liegt auf der Verwaltung privilegierter Zugänge. Privilegierte Konten verfügen über weitreichenden Zugriff auf Systeme und Daten, sind aber häufig mit zu vielen Rechten ausgestattet. Service-Konten, Cloud-Administratoren und delegierte Berechtigungen außerhalb der zentralen Überwachung erhöhen das Risiko erheblich – besonders, wenn sie ohne MFA oder Protokollierung betrieben werden. Auch eine zu große Zahl an Mitgliedern in den Rollen Domain Admin oder Global Administrator sowie überlappende Verwaltungsbereiche deuten darauf hin, dass eine Rechteausweitung schnell und schwer einzudämmen wäre.
Schlecht verwaltete oder unbekannte privilegierte Zugänge gelten dabei als riskanter als eine kleine Zahl streng kontrollierter Administratoren. Sicherheitsteams können laut dem Beitrag Werkzeuge wie den Specops Password Auditor nutzen, um veraltete, inaktive oder überprivilegierte Administratorkonten zu identifizieren und vor einem Missbrauch zu bereinigen. Für Versicherer lautet die Kernfrage: Wenn ein Angreifer ein einzelnes Konto kompromittiert, wie schnell kann er zum Administrator werden? Lautet die Antwort „sofort" oder „mit geringem Aufwand", schlägt sich das in der Prämie nieder.
Die meisten Organisationen können glaubhaft angeben, MFA eingeführt zu haben. Wirksam senkt MFA das Risiko jedoch nur, wenn es konsequent über alle kritischen Systeme und Konten hinweg durchgesetzt wird. In einem dokumentierten Fall wurde der Stadt Hamilton nach einem Ransomware-Angriff eine Versicherungsleistung von 18 Millionen US-Dollar verweigert, weil MFA nicht vollständig über die betroffenen Systeme hinweg umgesetzt worden war.
MFA ist nicht unfehlbar, doch sogenannte Fatigue-Angriffe setzen zunächst gültige Anmeldedaten voraus und hängen anschließend davon ab, dass ein Nutzer eine unbekannte Authentifizierungsanfrage bestätigt – ein keineswegs sicheres Ergebnis. Konten, die über ältere Protokolle authentifizieren, nicht-interaktive Service-Konten oder aus Bequemlichkeit ausgenommene privilegierte Rollen bieten dagegen gangbare Umgehungswege. Versicherer verlangen MFA deshalb zunehmend für alle privilegierten Konten sowie für E-Mail- und Fernzugriffe; wer dies vernachlässigt, muss mit höheren Prämien rechnen.
Versicherer erwarten den Nachweis, dass Identitätskontrollen nicht nur existieren, sondern fortlaufend überwacht und verbessert werden. Der Specops Password Auditor unterstützt dies dem Beitrag zufolge, indem er Transparenz über die Offenlegung von Passwörtern im Active Directory schafft.
