(10.07.2020) Nicht Wirtschaftsspione, Hacker oder gar Virenprogrammierer – die eigenen Mitarbeiter stellen in einigen Bereichen das größte Sicherheitsrisiko für Unternehmen dar. Einen wirksamen Schutz vor Betrug, Diebstahl und Korruption in den eigenen vier Wänden sehen Experten in der kontrollierten Vergabe von Zugriffsrechten.

Eine aktuelle Studie der Wirtschaftsprüfungsgesellschaft KPMG unter 1.001 Unternehmen aus allen Branchen gibt Anlass zur Sorge: Rund 80 Prozent der befragten Betriebe sehen ein ernstes Problem im betriebsinternen Datenklau. Bei „Verletzungen der Geschäftsgeheimnisse“ gehen demnach 56 Prozent der kriminellen Machenschaften auf das Konto der eigenen Belegschaft. Die Ursachen dafür: Oftmals fehlen schlichtweg die geeigneten Instrumente, um Risikofaktoren und Compliance-Schwachstellen aufspüren zu können. Häufig mangelt es zudem an Kontrolle und Transparenz über die vergebenen Zugriffsrechte. Unternehmenskritische Informationen landen so schnell und vor allem ohne großen Aufwand für Langfinger in den falschen Händen.

 

Aufschlüsselung der Täterherkunft laut einer Studie der KPMG 2019. Besonders auffällig ist der hohe Anteil von internen Delikten bei der „Verletzung von Geschäftsgeheimnissen“ sowie bei Urheberrechtsverletzungen, Quelle: KPMG

 Abbildung 1: Täterherkunft in Prozent (Quelle: KPMG)

Aufschlüsselung der Täterherkunft laut einer Studie der KPMG 2019. Besonders auffällig ist der hohe Anteil von internen Delikten bei der „Verletzung von Geschäftsgeheimnissen“ sowie bei Urheberrechtsverletzungen.


Ein Blick hinter die IT-Kulissen offenbart: Ohne ein zentrales Rechtemanagement fehlt IT-Verantwortlichen jegliche Kontrolle darüber, wer auf welche Benutzerkonten zugreifen kann. Weil an diesen Konten sämtliche zugewiesenen Rechte des entsprechenden Anwenders auf unternehmensinterne Daten und Anwendungen hängen, haben unseriöse Benutzer leichtes Spiel. Betroffen davon sind Geschäftsgeheimnisse, Urheberrechte ebenso wie Finanzkonten und vertrauliche Informationen über Kunden oder Mitarbeiter. Anders ausgedrückt: Wer einen Zugang zu einem solchen Konto erhält, kann sich ungehindert aus dem Datenpool des Unternehmensservers bedienen. Kein Wunder also, dass das Thema Risikoprävention bei IT-Rechten in deutschen Betrieben aktuell ganz oben auf der Agenda steht, wie die KPMG-Studie zeigt: 80 Prozent der Befragten sollten ihr Berechtigungskonzept überarbeiten und Firmendaten somit vor unbefugten Zugriffen schützen.

Chaotische Berechtigungsstrukturen laden zum Datenklau ein
Die Verantwortung für den Verlust sensibler Daten tragen Firmen in der Regel selbst, da nur 27 Prozent der Unternehmen eine e-Crime Versicherung besitzen. Zudem ist oft noch nicht einmal auf organisatorischer Ebene geklärt, wer wofür autorisiert ist, oder welche Unternehmensdaten als besonders kritisch einzustufen sind. Ein Umstand, der sich dementsprechend auch in chaotischen Berechtigungsstrukturen wiederfindet und so zur Angriffsfläche für Missbrauch wird. Aber nicht nur der Diebstahl digitaler Identitäten ist ein Problem. Es wird auch leicht übersehen, Zugriffsrechte zu löschen, sobald ein Mitarbeiter seine Position innerhalb des Unternehmens wechselt. Verlässt zum Beispiel ein Personalverantwortlicher seine Abteilung und tritt intern eine neue Stelle an, besteht mitunter die Gefahr, dass seine Zugriffsrechte nicht auf die neuen Anforderungen angepasst werden. Der Ex-Personaler hat somit weiterhin Einblick in Akten von Mitarbeitern, ehemaligen Beschäftigten oder externen Personen.

Prävention durch zentrale Rechtevergaben und Kontrollen
Die kontrollierte Vergabe und zentrale Verwaltung von Zugriffsrechten mithilfe einer Identity-Management-Lösung beugen der Entwendung sensibler Daten zu einem großen Teil vor. Ein solches System bietet eine richtliniengesteuerte Rechtevergabe, einen umfassenden Überblick über alle Berechtigungen von zentraler Stelle aus sowie einen sicheren Rechteentzug. Kommt es zu einem internen Wechsel eines Mitarbeiters, lässt sich ein De-Provisioning-Prozess anstoßen, durch den sein Benutzerkonto und sämtliche Zugriffsberechtigungen automatisch gesperrt und nach einem vorab definierten Zeitraum endgültig gelöscht werden. Gleichzeitig erhält der Mitarbeiter neue Berechtigungen auf Daten, die für seine aktuelle Arbeit relevant sind. Das Ergebnis: Unternehmen können sensible Daten so bereits frühzeitig schützen. Berechtigungs-Audits geben jederzeit und auf Knopfdruck Aufschluss darüber, welcher Anwender Zugriffsrechte auf welche Daten besitzt oder welche Mitarbeiter für eine bestimmte Dateiablage berechtigt sind – einem Rechtechaos, wie bei Abteilungswechsel, Unternehmensfusionen oder Umorganisationen oftmals der Fall, wird vorgebeugt. Darüber hinaus dokumentiert das System die Verwaltung der digitalen Identitäten revisionssicher, macht Vergabe und Entzug von Zugriffsberechtigungen nachvollziehbar und garantiert so die Einhaltung von Compliance-Vorgaben.

Über einen Rechte Drill-Down können die Berechtigungen einer Organisationseinheit nach Anwendern, Zielsystemen und Einzelrechten aufgelöst werden, um entscheidende Fragen zu beantworten wie: „Wer hat wo, welche Einzelberechtigungen“?, Quelle:  C-IAM GmbH

Abbildung 2: Rechte Drill-Down nach Organisationseinheit und Anwender (Quelle: C-IAM GmbH)
Über einen Rechte Drill-Down können die Berechtigungen einer Organisationseinheit nach Anwendern, Zielsystemen und Einzelrechten aufgelöst werden, um entscheidende Fragen zu beantworten wie: „Wer hat wo, welche Einzelberechtigungen“?


Informationssicherheit in nur wenigen Schritten
Um ein Unternehmen schrittweise von existierenden Sicherheitslücken zu befreien und künftigen Datenmissbrauch vorzubeugen, ist ein mehrstufiges Vorgehen sinnvoll: Zunächst müssen gewachsene Berechtigungen analysiert und Sicherheitslücken ausfindig gemacht werden. Damit ist die Basis für ein System geschaffen, mit dem eine zentrale und weitgehend automatisierte Verwaltung der Berechtigungen möglich wird. Nur so kann Sicherheitsrisiken und Compliance-Verstößen vorgebeugt werden. Im Anschluss erfolgt die Einführung eines einheitlichen Rollens-Managements mit Genehmigungs-Workflows: Dies ermöglicht rechtskonform automatisierte Prozesse für die Rechtevergabe, die durchgängig sind und deren Umgehung nicht unentdeckt bleiben. Damit werden nur den wirklich autorisierten Anwendern Zugriffsrechte auf Informationen gewährt – also einheitliche, effiziente und Compliance-konforme Prozesse nach dem Vier-Augen-Prinzip. Die letzten Schritte zum zentralen Management von Identitäten und Rechten umfassen den automatisierten Import der User-Daten aus beispielsweise AD in ein Identity Access Management-System sowie die Verbindung mit einem HR-System. Damit kann auch die Nutzung anderer IT-Kerndienste wie E-Mail, Telefonie, Software- und Computerverwaltung etc. abgesichert werden. Dass eine gute Kontrolllösung, die lückenlose Dokumentation und die Umsetzung eines transparenten Identity Managements dringend notwendig ist, beweist denn auch die Erhebung von KPMG: Laut der Studie rechnen zwei Drittel der befragten Unternehmen in den nächsten Jahren mit einer Zunahme der Kriminalität im eigenen Betrieb.

Thomas Reeb, Senior Sales Manager der C-IAM GmbH, Quelle: C-IAM GmbH

 

 

Autor: Thomas Reeb, Senior Sales Manager der C-IAM GmbH (https://c-iam.com/)

Cookies erleichtern die Bereitstellung unserer Dienste. Klicken Sie auf OK, wenn Sie mit dem Einsatz von Cookies einverstanden sind.
Weitere Informationen