Cyberkriminalität durch falsch gesetzte Zugriffsrechte

24.06.2020 - 14:00

Veröffentlicht in:

Fachartikel

Nicht Wirtschaftsspione, Hacker oder gar Virenprogrammierer – die eigenen Mitarbeiter stellen in einigen Bereichen das größte Sicherheitsrisiko für Unternehmen dar. Einen wirksamen Schutz vor Betrug, Diebstahl und Korruption in den eigenen vier Wänden sehen Experten in der kontrollierten Vergabe von Zugriffsrechten.

Eine aktuelle Studie der Wirtschaftsprüfungsgesellschaft KPMG unter 1001 Unternehmen aus allen Branchen gibt Anlass zur Sorge: Rund 80 Prozent der befragten Betriebe sehen ein ernstes Problem im betriebsinternen Datenklau. Bei "Verletzungen der Geschäftsgeheimnisse" gehen demnach 56 Prozent der kriminellen Machenschaften auf das Konto der eigenen Belegschaft. Die Ursachen dafür: Oftmals fehlen schlichtweg die geeigneten Instrumente, um Risikofaktoren und Compliance-Schwachstellen aufspüren zu können. Häufig mangelt es zudem an Kontrolle und Transparenz über die vergebenen Zugriffsrechte. Unternehmenskritische Informationen landen so schnell und vor allem ohne großen Aufwand für Langfinger in den falschen Händen.

Ein Blick hinter die IT-Kulissen offenbart: Ohne ein zentrales Rechtemanagement fehlt IT-Verantwortlichen jegliche Kontrolle darüber, wer auf welche Benutzerkonten zugreifen kann. Weil an diesen Konten sämtliche zugewiesenen Rechte des entsprechenden Anwenders auf unternehmensinterne Daten und Anwendungen hängen, haben unseriöse Benutzer leichtes Spiel. Betroffen davon sind Geschäftsgeheimnisse, Urheberrechte ebenso wie Finanzkonten und vertrauliche Informationen über Kunden oder Mitarbeiter.

Bild 1: Aufschlüsselung der Täterherkunft laut einer Studie der KPMG 2019. Besonders auffällig
ist der hohe Anteil von internen Delikten bei der "Verletzung von Geschäftsgeheimnissen"
sowie bei Urheberrechtsverletzungen.

Anders ausgedrückt: Wer einen Zugang zu einem solchen Konto erhält, kann sich ungehindert aus dem Datenpool des Unternehmensservers bedienen. Kein Wunder also, dass das Thema Risikoprävention bei IT-Rechten in deutschen Betrieben aktuell ganz oben auf der Agenda steht, wie die KPMG-Studie zeigt: 80 Prozent der Befragten sollten ihr Berechtigungskonzept überarbeiten und Firmendaten somit vor unbefugten Zugriffen schützen.

Chaotische Berechtigungsstrukturen laden zum Datenklau ein

Die Verantwortung für den Verlust sensibler Daten tragen Firmen in der Regel selbst, da nur 27 Prozent der Unternehmen eine e-Crime-Versicherung besitzen. Zudem ist oft noch nicht einmal auf organisatorischer Ebene geklärt, wer wofür autorisiert ist oder welche Unternehmensdaten als besonders kritisch einzustufen sind. Ein Umstand, der sich dementsprechend auch in chaotischen Berechtigungsstrukturen wiederfindet und so zur Angriffsfläche für Missbrauch wird.

Aber nicht nur der Diebstahl digitaler Identitäten ist ein Problem. Es wird auch leicht übersehen, Zugriffsrechte zu löschen, sobald ein Mitarbeiter seine Position innerhalb des Unternehmens wechselt. Verlässt zum Beispiel ein Personalverantwortlicher seine Abteilung und tritt intern eine neue Stelle an, besteht mitunter die Gefahr, dass seine Zugriffsrechte nicht auf die neuen Anforderungen angepasst werden. Der Ex-Personaler hat somit weiterhin Einblick in Akten von Mitarbeitern, ehemaligen Beschäftigten oder externen Personen.

Prävention durch zentrale Rechtevergaben und Kontrollen

Die kontrollierte Vergabe und zentrale Verwaltung von Zugriffsrechten mithilfe eines Identity-Management-Werkzeugs beugt der Entwendung sensibler Daten zu einem großen Teil vor. Ein solches System bietet eine richtliniengesteuerte Rechtevergabe, einen umfassenden Überblick über alle Berechtigungen von zentraler Stelle aus sowie einen sicheren Rechteentzug. Kommt es zu einem internen Wechsel eines Mitarbeiters, lässt sich ein De-Provisioning-Prozess anstoßen, durch den sein Benutzerkonto und sämtliche Zugriffsberechtigungen automatisch gesperrt und nach einem vorab definierten Zeitraum endgültig gelöscht werden.

Gleichzeitig erhält der Mitarbeiter neue Berechtigungen auf Daten, die für seine aktuelle Arbeit relevant sind. Das Ergebnis: Unternehmen können sensible Daten so bereits frühzeitig schützen. Berechtigungs-Audits geben jederzeit und auf Knopfdruck Aufschluss darüber, welcher Anwender Zugriffsrechte auf welche Daten besitzt oder welche Mitarbeiter für eine bestimmte Dateiablage berechtigt sind – einem Rechtechaos, wie bei Abteilungswechsel, Unternehmensfusionen oder Umorganisationen oftmals der Fall, wird vorgebeugt. Darüber hinaus dokumentiert das System die Verwaltung der digitalen Identitäten revisionssicher, macht Vergabe und Entzug von Zugriffsberechtigungen nachvollziehbar und garantiert so die Einhaltung von Compliance-Vorgaben.

Informationssicherheit in nur wenigen Schritten

Um ein Unternehmen schrittweise von existierenden Sicherheitslücken zu befreien und künftigen Datenmissbrauch vorzubeugen, ist ein mehrstufiges Vorgehen sinnvoll: Zunächst gilt es, gewachsene Berechtigungen zu analysieren und Sicherheitslücken ausfindig zu machen. Damit ist die Basis für ein System geschaffen, mit dem eine zentrale und weitgehend automatisierte Verwaltung der Berechtigungen möglich ist. Nur so kann Sicherheitsrisiken und Compliance-Verstößen vorgebeugt werden.

Bild 2: Berechtigungsanalysen geben Auskunft über die aktuelle Rechtesituation im untersuchten Bereich.

Risiko-Diagramme zeigen auf einen Blick, ob und wo es zu disjunkten Berechtigungen kam und bewerten

die Gesamtsituation optisch und numerisch.

Im Anschluss erfolgt die Einführung eines einheitlichen Rollen-Managements mit Genehmigungs-Workflows: Dies ermöglicht rechtskonform automatisierte Prozesse für die Rechtevergabe, die durchgängig sind und deren Umgehung nicht unentdeckt bleiben. Damit werden nur den wirklich autorisierten Anwendern Zugriffsrechte auf Informationen gewährt – also einheitliche, effiziente und Compliance-konforme Prozesse nach dem Vier-Augen-Prinzip.

Die letzten Schritte zum zentralen Management von Identitäten und Rechten umfassen den automatisierten Import der User-Daten aus beispielsweise AD in ein Identity-Access-Management-System sowie die Verbindung mit einem HR-System. Damit lässt sich auch die Nutzung anderer IT-Kerndienste wie E-Mail, Telefonie, Software- und Computerverwaltung et cetera absichern. Dass eine gute Kontrolllösung, die lückenlose Dokumentation und die Umsetzung eines transparenten Identity Managements dringend notwendig ist, beweist denn auch die Erhebung von KPMG: Laut der Studie rechnen zwei Drittel der befragten Unternehmen in den nächsten Jahren mit einer Zunahme der Kriminalität im eigenen Betrieb.

Fazit

Rund 80 Prozent der von der KPMG befragten Betriebe sehen heute ein ernstes Problem im betriebsinternen Datenklau. Mehrheitlich gehen die kriminellen Machenschaften bei "Verletzungen der Geschäftsgeheimnisse" auf das Konto der eigenen Belegschaft, hervorgerufen durch mangelnde Kontrolle und Transparenz der vergebenen Zugriffsrechte. Ein IAM schafft schnell und sicher Abhilfe indem es kontrolliert provisoniert beziehungsweise deprovisionert und so unternehmenskritische Daten schützt.

ln/Thomas Reeb, Director Sales bei der C-IAM GmbH.