Die Gefahr des internen Datendiebstahls
Autor:in
Ramón HeberleinDie Medien, Nachrichten und Hollywood-Filme unserer Zeit erzählen uns von der Gefahr ausländischer Spione, im Darknet agierender Hacker oder dem großen Cyberangriff einer ganzen Armee von Computer-Nerds. Allerdings sieht die Realität mitunter anders aus. Eine Studie der Wirtschaftsprüfungsgesellschaft KPMG hat 1001 Unternehmen befragt und festgestellt, dass 80% aller Befragten den internen Datendiebstahl fürchten. 56% aller Verletzungen der Geschäftsgeheimnisse erfolgen durch die eigene Belegschaft, durch sogenannte Innentäter/innen.¹ Das heißt also, dass James Bond und Co. nicht den Großteil des Risikos ausmachen, sondern die eigenen Mitarbeitenden.
Wieso werden interne Daten gestohlen?
Der Grund dafür ist recht simpel: es fehlen die passenden Instrumente, um die akuten Risiken zu entdecken. In vielen Unternehmen fehlen die Kontrolle und Transparenz von Zugriffsrechten. Es braucht ein Rechtemanagement, das zentral und automatisiert Berechtigungen und Zugriffsrechte regelt und organisiert. Denn schnell sind Geschäftsgeheimnisse, Urheberrechte, Finanzkonten oder hochsensible Daten von Mitarbeitenden und Kunden gefährdet, wenn der Überblick verloren geht und die Gelegenheit zur Versuchung wird. Denn wer einmal einen Zugang hat, kann ungehindert Daten einsehen, stehlen, weitergeben. Die besagte Studie der KPMG zeigt, dass 80% der teilnehmenden Unternehmen ihr Berechtigungskonzept überarbeiten müssen. Denn wer wofür autorisiert ist, ist in vielen Unternehmen nicht vollends ersichtlich, was zu chaotischen Verhältnissen führt und schnell zur unerlaubten Handlung einlädt. Nur ein Beispiel: Bei internen Umsetzungen bleiben oftmals die alten Zugriffsrechte bestehen. Somit kann die ehemalige Personalabteilungsleiterin weiterhin die Mitarbeitenden-Akten einsehen, obwohl sie mittlerweile schon längst nicht mehr zuständig dafür ist. Gerade im Gesundheitswesen ist es bei den komplexen IT-Systemen häufig an der Tagesordnung das medizinisches Personal höhere Rechte als notwendig erhält. Daher sollten Rechte nur nach dem “need-to-know"-Prinzip, also nur die zwingend für die Ausübung der Arbeiten notwendigen Rechte, vergeben werden. Anträge für höhere Rechte sollten durch mehrere Freigabeinstanzen gehen. In der Praxis zeigt sich, dass häufiger mehr Rechte vergeben werden. Der Abzug von Rechten ist eher selten. Aber auch dieser Prozess ist sehr wichtig.
So viel zum Problem. Was aber ist die Lösung? Diese besteht in der Nutzung eines Identity-Management-Werkzeugs. Dieses kontrolliert die Vergabe und zentralisiert die Verwaltung von Zugriffsrechten. Der Vorteil liegt dabei auf der Hand: die Rechtevergabe erfolgt richtliniengesteuert, der Überblick über die Berechtigungen wird gewährt und der Rechteentzug ist sicher. Nehmen wir also unsere ehemalige Personalabteilungsleiterin, die nun intern ihre Position wechselte, so sperrt das System automatisch ihr Benutzerkonto und alle Zugriffsrechte und löscht – nach einem definierten Zeitraum – diese endgültig. Gleichzeitig erhält sie neue Zugänge, die für sie ab sofort relevant sind. Compliance-Vorgaben werden damit eingehalten, da die Verwaltung digitaler Identitäten dokumentiert und die Vergabe und der Entzug von Berechtigungen nachvollziehbar wird.
Drei grundlegende Schritte Ihre Unternehmensdaten zu schützen
Berechtigterweise fragen Sie sich nun, wie Ihr Unternehmen zu diesen Sicherheitsstandards gelangen kann. Hierbei sei gesagt, dass ein mehrstufiges Vorgehen aus drei grundlegenden Schritten sinnvoll ist.
Schritt 1: Analysieren Sie die Berechtigungen in Ihrem Unternehmen und erkennen Sie vorliegende Sicherheitslücken! Nur dann wird die automatisierte und zentralisierte Verwaltung der Berechtigungen möglich.
Schritt 2: Führen Sie ein einheitliches Rollen-Management ein! Damit schaffen Sie automatisierte Prozesse für die Rechtevergabe, deren mögliche Umgehung entdeckt würde.
Schritt 3: Importieren Sie automatisiert die Nutzerdaten in ein Identity-Access-Management-System und schaffen Sie die Verbindung mit einem HR-System!
Mit diesen Schritten wird Ihr Unternehmen weitestgehend sicherer, um internen Datenklau vorzubeugen. Und dies ist nötig: Denn laut der anfangs erwähnten Studie rechnen zwei Drittel der teilgenommenen Unternehmen mit einer Zunahme der Kriminalität durch die eigene Belegschaft in den nächsten Jahren. Seien Sie kein Teil dieser Statistik!