Bei AuditBoard nimmt man laut CISO Marcus seit 2024 zunehmend Abstand davon, Passwort-gestützte Sicherheitskontrollen einzusetzen. Stattdessen setzt das Unternehmen auf dynamische Methoden zur Benutzerauthentifizierung: „Wenn wir einen Anbieter selektieren, sagen wir ganz offen, dass wir keine statischen Authentifizierungsmethoden wie Passwörter oder Token ausgeben möchten. Man muss dabei aber realistisch bleiben: Wenn das bei bestimmten Produkten nicht umsetzbar ist, müssen die verwendeten Passwörter regelmäßig geändert werden. Für uns sind statische Credentials zur Ausnahme geworden.“
2. Penetrationstests mit Termin
Kein Safety-Device, in den Augen mancher Experten aber eine veraltete Strategie: Terminierte Penetrationstests. Diese Ansicht vertritt zum Beispiel Attila Torok, seines Zeichens CISO beim Softwareanbieter GoTo. Er hält insbesondere Pentests, die ein- oder zweimal im Jahr abgehalten werden, um Compliance- oder Anbieteranforderungen zu erfüllen, für überflüssig: „Das ist nicht geeignet, um die die tatsächliche Sicherheitslage eines Unternehmens effektiv zu bewerten. Vielmehr handelt es sich um eine Momentaufnahme. Die Umgebung bei GoTo verändert sich beispielsweise ständig: Wir ändern unseren Code mehrmals am Tag – ein jährlicher Penetrationstest würde additionally nichts bringen außer exorbitante Kosten.“
Allerdings ist der Sicherheitsentscheider nicht per se ein Gegner von Penetrationstests: Er setzt nach eigener Aussage selbst ein Workforce ein, das die Goto-Umgebung in regelmäßigen Abständen auf Schwachstellen testet: „Ein dynamischer Ansatz für Pentests ist für Umgebungen, die sich ständig verändern, die bessere Wahl.“
