Zugriffsrechte und Datenschutz
Unternehmen unter Zugzwang
Die Digitalisierung schreitet voran und bietet viele neue Möglichkeiten. Doch damit steigen nicht nur die Chancen von Unternehmen, auch die Kreativität der Hacker kennt immer weniger Grenzen. Eine Schlüsselrolle beim Datenschutz spielt die Verwaltung von Zugriffsrechten.
Laut DSGVO müssen Unternehmen geeignete Maßnahmen treffen, um unbefugtem Zugriff vorzubeugen. Daraus lässt sich ableiten, dass die Verwaltung von Mitarbeiterzugriffsrechten kontinuierlich zu überprüfen ist. Bei Nichteinhaltung der neuen Regelungen drohen erhebliche Strafen. Doch viele firmeninterne IT-Landschaften sind äußerst komplex. Daher fehlt für eine kontinuierliche Überprüfung oft eine zentrale Instanz, die eine übersichtliche Darstellung der Rechtestrukturen ermöglicht. Ein Mitarbeiter verlässt das Unternehmen, ein neuer kommt, ein anderer wechselt die Abteilung – ständig ändern sich die Zuständigkeiten innerhalb der Belegschaft. Neben diesen Veränderungen erschweren zudem die vielen verschiedenen Systeme eine kontinuierliche Kontrolle der Zugriffsrechte. Hier den Überblick zu behalten und die Zugriffsberechtigungen effizient zu verwalten, nimmt viel Zeit in Anspruch und ist kostenintensiv.
Transparenz über sämtliche Zugriffsberechtigungen zu bekommen, ist für viele Unternehmen ein Problem. Immer wieder kommt es deshalb zu fehlerhaften Berechtigungsvergaben, die in der komplexen IT-Landschaft schnell übersehen werden. Solche Fehler können schwerwiegende Folgen haben und gefährden die firmeninterne IT-Sicherheit.
Beliebte Angriffsziele
Wachsende IT-Infrastrukturen können nicht nur für große, international agierende Unternehmen zu einer Herausforderung werden. Versicherungen, große E-Commerce-Unternehmen und vor allem Banken sind ein beliebtes Angriffsziel von Hackern, da sie im Besitz von unzähligen vertraulichen Daten sind. Ein typisches Szenario, in dem fehlerhafte Berechtigungen schnell zu einem Sicherheitsproblem führen könnten, ist ein Abteilungswechsel innerhalb eines Geldinstitutes. Wechselt ein Mitarbeiter von der Kreditoren- in die Debitorenabteilung, benötigt er neue Rechte innerhalb der IT-Infrastruktur. Gerade in diesem Beispiel ist es wichtig, dass dem Mitarbeiter die Berechtigungen seiner alten Rolle im Unternehmen mit dem Abteilungswechsel entzogen werden. Geschieht das nicht, hat er die Berechtigungen beider Rollen und ist in der Lage, ohne Weiteres Geld von einem auf ein anderes Konto zu verschieben. Das heißt zwar nicht, dass der Angestellte diese Möglichkeit ausnutzt. Aber eine solche doppelte Berechtigungssituation (Segregation of duties, Funktionstrennung) verstößt gegen gesetzliche Auflagen. Und das aus gutem Grund: Geraten die Zugangsdaten für das entsprechende Mitarbeiterkonto in fremde Hände, könnten Cyberkriminelle das Geld im Namen des Angestellten verschieben. Hier geht es also nicht nur um Geld und Unternehmensdaten. Der Mitarbeiter sähe sich schnell mit falschen Anschuldigungen konfrontiert. Es sind aber durchaus auch Fälle bekannt, in denen eigene Mitarbeiter fehlerhafte Berechtigungen ausgenutzt haben.
Immer wieder zielen Kriminelle auf die Sicherheitslücken firmeninterner IT-Systeme ab und gelangen so an Zugriffsrechte, die sie für Diebstähle oder zum Einsammeln vertraulicher Unternehmensinformationen einsetzen.
Genaue Zahlen solcher oder ähnlicher Vorfälle sind bis dato nicht bekannt und die Dunkelziffer ist vermutlich groß. Mit dem Inkrafttreten des europäisch geregelten Datenschutzes werden sich Unternehmen genau überlegen müssen, wie sie mit solchen Situationen umgehen. Der mögliche Prestigeschaden ist nicht zu unterschätzen, denn in einer vertrauensvollen Zusammenarbeit hat die Transparenz in einer Geschäftsbeziehung gegenüber Kunden und Partnern eine enorme Bedeutung.
- Unternehmen unter Zugzwang
- Access Governance: Was ist zu beachten?
- Checkliste für Access-Governance-Lösungen
Lesen Sie mehr zum Thema
