Fachartikel

Cyberkriminalität durch falsch gesetzte Zugriffsrechte

Nicht Wirtschaftsspione, Hacker oder gar Virenprogrammierer – die eigenen Mitarbeiter stellen in einigen Bereichen das größte Sicherheitsrisiko für Unternehmen dar. Einen wirksamen Schutz vor Betrug, Diebstahl und Korruption in den eigenen vier Wänden sehen Experten in der kontrollierten Vergabe von Zugriffsrechten.
Über einen Rechte-Drill-Down lassen sich die Berechtigungen einer Organisationseinheit nach Anwendern, Zielsystemen und Einzelrechten auflösen.
Eine aktuelle Studie der Wirtschaftsprüfungsgesellschaft KPMG unter 1001 Unternehmen aus allen Branchen gibt Anlass zur Sorge: Rund 80 Prozent der befragten Betriebe sehen ein ernstes Problem im betriebsinternen Datenklau. Bei "Verletzungen der Geschäftsgeheimnisse" gehen demnach 56 Prozent der kriminellen Machenschaften auf das Konto der eigenen Belegschaft. Die Ursachen dafür: Oftmals fehlen schlichtweg die geeigneten Instrumente, um Risikofaktoren und Compliance-Schwachstellen aufspüren zu können. Häufig mangelt es zudem an Kontrolle und Transparenz über die vergebenen Zugriffsrechte. Unternehmenskritische Informationen landen so schnell und vor allem ohne großen Aufwand für Langfinger in den falschen Händen.

Ein Blick hinter die IT-Kulissen offenbart: Ohne ein zentrales Rechtemanagement fehlt IT-Verantwortlichen jegliche Kontrolle darüber, wer auf welche Benutzerkonten zugreifen kann. Weil an diesen Konten sämtliche zugewiesenen Rechte des entsprechenden Anwenders auf unternehmensinterne Daten und Anwendungen hängen, haben unseriöse Benutzer leichtes Spiel. Betroffen davon sind Geschäftsgeheimnisse, Urheberrechte ebenso wie Finanzkonten und vertrauliche Informationen über Kunden oder Mitarbeiter.

Bild 1: Aufschlüsselung der Täterherkunft laut einer Studie der KPMG 2019. Besonders auffällig
ist der hohe Anteil von internen Delikten bei der "Verletzung von Geschäftsgeheimnissen"
sowie bei Urheberrechtsverletzungen.


Anders ausgedrückt: Wer einen Zugang zu einem solchen Konto erhält, kann sich ungehindert aus dem Datenpool des Unternehmensservers bedienen. Kein Wunder also, dass das Thema Risikoprävention bei IT-Rechten in deutschen Betrieben aktuell ganz oben auf der Agenda steht, wie die KPMG-Studie zeigt: 80 Prozent der Befragten sollten ihr Berechtigungskonzept überarbeiten und Firmendaten somit vor unbefugten Zugriffen schützen.
Chaotische Berechtigungsstrukturen laden zum Datenklau ein
Die Verantwortung für den Verlust sensibler Daten tragen Firmen in der Regel selbst, da nur 27 Prozent der Unternehmen eine e-Crime-Versicherung besitzen. Zudem ist oft noch nicht einmal auf organisatorischer Ebene geklärt, wer wofür autorisiert ist oder welche Unternehmensdaten als besonders kritisch einzustufen sind. Ein Umstand, der sich dementsprechend auch in chaotischen Berechtigungsstrukturen wiederfindet und so zur Angriffsfläche für Missbrauch wird.

Aber nicht nur der Diebstahl digitaler Identitäten ist ein Problem. Es wird auch leicht übersehen, Zugriffsrechte zu löschen, sobald ein Mitarbeiter seine Position innerhalb des Unternehmens wechselt. Verlässt zum Beispiel ein Personalverantwortlicher seine Abteilung und tritt intern eine neue Stelle an, besteht mitunter die Gefahr, dass seine Zugriffsrechte nicht auf die neuen Anforderungen angepasst werden. Der Ex-Personaler hat somit weiterhin Einblick in Akten von Mitarbeitern, ehemaligen Beschäftigten oder externen Personen.

Prävention durch zentrale Rechtevergaben und Kontrollen
Die kontrollierte Vergabe und zentrale Verwaltung von Zugriffsrechten mithilfe eines Identity-Management-Werkzeugs beugt der Entwendung sensibler Daten zu einem großen Teil vor. Ein solches System bietet eine richtliniengesteuerte Rechtevergabe, einen umfassenden Überblick über alle Berechtigungen von zentraler Stelle aus sowie einen sicheren Rechteentzug. Kommt es zu einem internen Wechsel eines Mitarbeiters, lässt sich ein De-Provisioning-Prozess anstoßen, durch den sein Benutzerkonto und sämtliche Zugriffsberechtigungen automatisch gesperrt und nach einem vorab definierten Zeitraum endgültig gelöscht werden.

Gleichzeitig erhält der Mitarbeiter neue Berechtigungen auf Daten, die für seine aktuelle Arbeit relevant sind. Das Ergebnis: Unternehmen können sensible Daten so bereits frühzeitig schützen. Berechtigungs-Audits geben jederzeit und auf Knopfdruck Aufschluss darüber, welcher Anwender Zugriffsrechte auf welche Daten besitzt oder welche Mitarbeiter für eine bestimmte Dateiablage berechtigt sind – einem Rechtechaos, wie bei Abteilungswechsel, Unternehmensfusionen oder Umorganisationen oftmals der Fall, wird vorgebeugt. Darüber hinaus dokumentiert das System die Verwaltung der digitalen Identitäten revisionssicher, macht Vergabe und Entzug von Zugriffsberechtigungen nachvollziehbar und garantiert so die Einhaltung von Compliance-Vorgaben.

Informationssicherheit in nur wenigen Schritten
Um ein Unternehmen schrittweise von existierenden Sicherheitslücken zu befreien und künftigen Datenmissbrauch vorzubeugen, ist ein mehrstufiges Vorgehen sinnvoll: Zunächst gilt es, gewachsene Berechtigungen zu analysieren und Sicherheitslücken ausfindig zu machen. Damit ist die Basis für ein System geschaffen, mit dem eine zentrale und weitgehend automatisierte Verwaltung der Berechtigungen möglich ist. Nur so kann Sicherheitsrisiken und Compliance-Verstößen vorgebeugt werden.

Bild 2: Berechtigungsanalysen geben Auskunft über die aktuelle Rechtesituation im untersuchten Bereich.
Risiko-Diagramme zeigen auf einen Blick, ob und wo es zu disjunkten Berechtigungen kam und bewerten
die Gesamtsituation optisch und numerisch.

Im Anschluss erfolgt die Einführung eines einheitlichen Rollen-Managements mit Genehmigungs-Workflows: Dies ermöglicht rechtskonform automatisierte Prozesse für die Rechtevergabe, die durchgängig sind und deren Umgehung nicht unentdeckt bleiben. Damit werden nur den wirklich autorisierten Anwendern Zugriffsrechte auf Informationen gewährt – also einheitliche, effiziente und Compliance-konforme Prozesse nach dem Vier-Augen-Prinzip.

Die letzten Schritte zum zentralen Management von Identitäten und Rechten umfassen den automatisierten Import der User-Daten aus beispielsweise AD in ein Identity-Access-Management-System sowie die Verbindung mit einem HR-System. Damit lässt sich auch die Nutzung anderer IT-Kerndienste wie E-Mail, Telefonie, Software- und Computerverwaltung et cetera absichern. Dass eine gute Kontrolllösung, die lückenlose Dokumentation und die Umsetzung eines transparenten Identity Managements dringend notwendig ist, beweist denn auch die Erhebung von KPMG: Laut der Studie rechnen zwei Drittel der befragten Unternehmen in den nächsten Jahren mit einer Zunahme der Kriminalität im eigenen Betrieb.

Fazit
Rund 80 Prozent der von der KPMG befragten Betriebe sehen heute ein ernstes Problem im betriebsinternen Datenklau. Mehrheitlich gehen die kriminellen Machenschaften bei "Verletzungen der Geschäftsgeheimnisse" auf das Konto der eigenen Belegschaft, hervorgerufen durch mangelnde Kontrolle und Transparenz der vergebenen Zugriffsrechte. Ein IAM schafft schnell und sicher Abhilfe indem es kontrolliert provisoniert beziehungsweise deprovisionert und so unternehmenskritische Daten schützt.
24.06.2020/ln/Thomas Reeb, Director Sales bei der C-IAM GmbH.

Nachrichten

Geografische und netzwerkbezogene Warnzeichen für Phishing-Angriffe [16.04.2021]

Das Land, aus dem E-Mails stammen, und die Anzahl der Länder, durch die sie auf dem Weg zu ihrem endgültigen Ziel geleitet werden, sind wichtige Warnzeichen für Phishing-Angriffe. In einer neuen Studie von Barracuda in Zusammenarbeit mit der Columbia University wurden Geolokalisierung und Netzwerkinfrastruktur von mehr als 2 Milliarden im Januar 2020 versendeten E-Mails analysiert, darunter 218.000 Phishing-E-Mails. [mehr]

Zero-Day-Schwachstelle im Desktop Window Manager entdeckt [14.04.2021]

Während der Analyse eines bekannten Exploits der APT-Gruppe BITTER entdeckten Sicherheitsforscher von Kaspersky eine Zero-Day-Schwachstelle im Desktop Window Manager. Dadurch sei eine beliebige Code-Ausführung seitens Cyberkriminellen auf dem Computer eines Opfers möglich. [mehr]

Tipps & Tools

Vorschau Mai 2021: Hybrid Cloud [14.04.2021]

Nahezu alle Unternehmen stehen inzwischen mit einem Bein in der Cloud, ohne gleich die lokale Infrastruktur aus dem Fenster zu werfen. In der Mai-Ausgabe widmet sich IT-Administrator dem Thema "Hybrid Cloud" und zeigt, wie sich beide Welten sinnvoll zusammenführen lassen. So lesen Sie beispielsweise, wie Sie Azure-Ressourcen lokal einbinden und Workloads in hybriden Umgebungen ausrollen. Außerdem zeigen wir im Mai-Heft, wie Sie mit vSphere Trust Authority Ihre VMware-Umgebung absichern und Applikations-Rollouts auf verschiedenen Clouds mit Ansible automatisieren. [mehr]

Monitoring, Backup und Recovery in virtualisierten Umgebungen (1) [9.04.2021]

Beim Betrieb einer Virtualisierungsinfrastruktur müssen IT-Verantwortliche auch dafür sorgen, dass die Umgebung verfügbar ist und im Fehlerfall schnell und ohne Datenverluste wieder anläuft. Hier kommen Monitoring, Backup, Ausfallsicherheit und Desaster-Recovery-Strategien ins Spiel. Im ersten Teil unseres Fachartikels beschäftigen wir uns mit der Ausfallsicherheit von Servern, der Hochverfügbarkeit von Storage-Systemen und der Redundanz im Netzwerk. [mehr]

Buchbesprechung

Computernetze und Internet of Things

von Patrick-Benjamin Bök, Andreas Noack, Marcel Müller

Anzeigen