IT-Security: Gleichung mit vielen Unbekannten

Es herrschen Unwissen und Sorglosigkeit bei den Unternehmen, und das, obwohl die Bedrohungslage immer kritischer eingeschätzt wird. Das ergibt der Access Rights Management Report 2016, der im Auftrag von 8MAN auf der IT-Fachmesse CeBIT durchgeführt wurde.

In 62 Prozent der Unternehmen werden nicht einmal die Daten klassifiziert. Für die Vergabe von Berechtigungen ist in 86 Prozent der Fälle nur der Administrator zuständig - bei 16 Prozent die Geschäftsleitung. 28 Prozent erklären zudem, dass alle Mitarbeiter gleiche Berechtigungen zum Datenzugriff haben (zweifache Antwort war möglich). "Damit wird klar, dass diese Unternehmen potentielle Sicherheitslücken durch mangelhaftes Access Rights Management haben. Die jeweiligen Fachabteilungen müssen nach dem Vier-Augen-Prinzip in die Vergabe von Zugriffs- und Bearbeitungsrechten einbezogen werden", sagt Matthias Schulte-Huxel, CSO bei 8MAN. Das Berliner Unternehmen bietet die führende Lösung, wenn es um die Analyse, Auswertung und Compliance-gerechte Dokumentation von Zugriffsrechten und Zugriffsaktivitäten geht. 

67 Prozent der Befragten sehen auch eine Mitverantwortung für Datenlecks bei den Mitarbeitern. Für 75 Prozent ist klar, dass kaum drohende Konsequenzen den Blick in verbotene Daten erleichtern. Über eine effiziente Softwarelösung zur unternehmensweiten Verwaltung von Berechtigungen lassen sich im Ernstfall solche Spuren nachvollziehen, was besonders für das folgende Szenario entscheidend ist: Für 22 Prozent ist nämlich auch ein bewusstes Schaden des Arbeitgebers - beispielsweise im Fall einer Bewerbung bei anderen Marktteilnehmern - denkbar.

"Unsere Analyse der Umfrageergebnisse zeigt zwar auf, dass die Risiken immer bewusster wahrgenommen werden - die Folgen aber immer noch zu oft hingenommen werden. Zudem werden Daten nicht klassifiziert, und die falschen Personen vergeben Zugriffsrechte. Ebenso erstaunlich ist, dass 63 Prozent angegeben haben, dass die eigenen Policies zum Thema Sicherheit bei den Mitarbeitern unbekannt sind", fasst Matthias Schulte-Huxel von 8MAN zusammen.

Dabei ist bei einer überwältigenden Mehrheit der Wert ihres Unternehmens an die IT - den Datenbestand auf den verschiedenen Laufwerken - gekoppelt. 73 Prozent sind also davon abhängig, dass Daten sicher gelagert und verwaltet werden. Damit ist die Zugriffsfrage - "Wer darf was in den IT-Systemen?" - eine zentrale Instanz für Sicherheit. "Wir sind immer wieder erstaunt darüber (ob bei Studien oder Installationen), dass Unternehmen zwar digital auf dem neuesten Stand sind, aber bei der Berechtigungsverwaltung, also dem Access Rights Management, nur unzureichend auf die Gegebenheiten eingestellt sind", warnt der 8MAN CSO.

Die 8MAN-Lösung macht ein Unternehmen im Handumdrehen sicher: Üblicherweise analysiert ein Anwender damit innerhalb von wenigen Minuten sämtliche an Mitarbeiter vergebene Zugriffsrechte. Auch Redundanzen, wie doppelte Vergabe von Rechten oder Gruppenmitgliedschaften, werden so enttarnt. "Niemand würde ein Auto mit offenem Kofferraum in einer dunklen Seitenstraße parken. Und so sollte man auch Daten und ihre Lagerorte behandeln", sagt Schulte-Huxel.