© Jose A. Bernat Bacete/GettyImages© Jose A. Bernat Bacete/GettyImages

    IT-Sicherheit, vernetzt

    Maßgeschneiderte Rollenverteilung

    Der deutschen Wirtschaft entstehen durch Spionage, Sabotage und Datendiebstahl jährlich Schäden in Milliardenhöhe. Doch viele Probleme sind hausgemacht und lassen sich von vornherein vermeiden. Ein großer Schwachpunkt sind ungeklärte Benutzerrechte.

    Die Masche ist so simpel wie effektiv: Bei Systemen, die technisch sehr gut abgesichert sind, nutzen Angreifer die Schwachstelle Mensch, um sich einen Zugang zu verschaffen. Social Hacking nennen Experten dieses Vorgehen, und das funktioniert so: Ein Cyberkrimineller ruft bei einem Mitarbeiter an und gibt sich als Administrator der IT-Abteilung des Unternehmens aus. Vorher hat er sich in sozialen Netzwerken und auf der Unternehmenswebsite schlau gemacht, wie er das Vertrauen des Mitarbeiters erlangen kann. Beispielsweise eröffnet er das Gespräch und erwähnt ein aktuelles Projekt. Schon geht der Angestellte davon aus, dass der Anruf echt ist – und gibt einige Fachbegriffe und IT-Phrasen später bereitwillig seine Anmeldedaten preis. Ganz im Glauben, dass der vermeintliche Kollege sonst nicht weiterarbeiten könne.

    Wer darf was, wann und wo?

    Das Beispiel zeigt: Die besten technischen Abwehrmechanismen sind wertlos, wenn Mitarbeiter getäuscht werden. Erst recht, wenn diese, wie in vielen Unternehmen üblich, den vollen Zugriff auf alle Systeme, Server und Speicher haben. Die Frage, wer auf welche Daten zugreifen darf, sei meist nur unzureichend geregelt, sagt Stephan Brack, Geschäftsführer des Anbieters für Berechtigungsmanagement-Software 8Man. Schnell ist ein Account für einen neuen Kollegen freigeschaltet, doch selten wird er nach dem Projekt wieder gelöscht. „Azubi-Effekt heißt dieses Phänomen“, sagt Brack. „Ein Auszubildender, der mehrere Abteilungen im Unternehmen durchläuft, sammelt im Laufe der Zeit Passwörter und Berechtigungen – und hat am Ende ähnlich umfassende Zugriffsrechte wie das Management.“ Auch die Accounts von ehemaligen Mitarbeitern schlummern oft noch im System. „Vielen kleinen und mittelständischen Unternehmen erscheint das Verwalten von Benutzerdaten oft als lästige und überflüssige Pflicht, nach dem Motto ‚Wir kennen unsere Mitarbeiter und vertrauen ihnen‘“, berichtet Brack.

    Die wichtigsten Infos für Unternehmer im Mittelstand, kurz und verständlich erklärt – das bietet der Creditreform Magazin Newsletter einmal pro Woche. Interessiert? Dann klicken Sie hier, um sich anzumelden!

    Das Problem klingt banal. Doch ist die Datensicherheit, besonders in Compliance-kritischen Bereichen, nicht gewährleistet, ergeben sich für Unternehmen erhebliche Risiken. Spätestens seit dem Inkrafttreten der EU-Datenschutz-Grundverordnung (DSGVO) sind sie rechtlich dazu verpflichtet, etwa personenbezogene Daten auch vor nicht berechtigten Mitarbeitern zu schützen. Bei Zuwiderhandlung droht ein Bußgeld in Höhe von vier Prozent des Jahresumsatzes. Auch die Imageschäden können erheblich sein. „Heutzutage ist es erforderlich, dass Unternehmen Vertrauen bei ihren Kunden aufbauen und eine Datenpanne unter allen Umständen vermeiden“, erklärt Hermann Wimmer, Chief Revenue Officer bei Forgerock, einem Plattformanbieter für digitales Identitätsmanagement. „Wer nicht vertrauensvoll mit den Daten seiner Kunden umgeht, wird vom Markt verschwinden“, ist er überzeugt. Forgerock veröffentlichte eine internationale Studie zur digitalen Identität: Demnach machen sich 56 Prozent der deutschen Verbraucher Sorgen darüber, dass sie ihre persönlichen Daten online weitergegeben haben.

    Für die IT-Sicherheit und die Einhaltung der individuell geltenden Sicherheitsrichtlinien können professionelle Identity- und Access-Management-Lösungen (IAM) die Identitäten und deren Zugriffsrechte verwalten, wie sie Dienstleister wie etwa 8Man, Betasystems, Airlock, C-IAM oder Forgerock anbieten. Nach einer aktuellen IAM-Studie des Magazins „Computerwoche“ werden diese jedoch erst zögerlich eingesetzt, vor allem kleine Unternehmen hinken noch hinterher. Mehr als die Hälfte der Firmen mit bis zu 100 Mitarbeitern lehnen den Einsatz einer Software für Berechtigungsmanagement noch ab. Das Resultat dieser Ablehnung verdeutlicht der Access Rights Management Report von Protected Networks im Auftrag von 8Man. Demnach haben in 28 Prozent der befragten Unternehmen alle Mitarbeiter die gleichen Berechtigungen. Ein Fehler, den sie indirekt einräumen, denn die meisten Befragten (67 Prozent) sehen bei Datenlecks eine Mitverantwortung bei den Mitarbeitern – die allerdings kaum Konsequenzen beim Einblick in sensible Daten zu befürchten haben. „Über eine effiziente Softwarelösung zur unternehmensweiten Verwaltung von Berechtigungen lassen sich im Ernstfall solche Spuren lückenlos nachvollziehen“, erklärt Brack – und spricht dabei über sein Produkt 8Man. Es beantwortet die Frage: Wer darf in einem Unternehmen welche Daten nutzen und wie lange? Dazu analysiert die Software selbstständig alle vergebenen Zugriffsrechte, stellt sie übersichtlich dar und ist sogar in der Lage, ausscheidende Mitarbeiter automatisch abzumelden. Ursprünglich sollte 8Man bei seiner Gründung Aid-Man heißen, weil es eben so eine nützliche Hilfe ist. Inzwischen vertrauen mehr als 1.300 Kunden in ganz Europa dieser Hilfe, vom großen Technologiekonzern bis zum KMU betreuen Brack und sein Unternehmen die Zugriffsrechte von mehr als 2,5 Millionen Nutzern.

    Kontrolle über Rollen

    Moderne IAM-Umsetzungen richten sich nach dem Informationsbedarf eines Mitarbeiters zur Erfüllung seiner Aufgabe, nach dem sogenannten Need-to-know-Prinzip. Jeder erhält dabei genau die Berechtigungen, die seiner Funktion im Unternehmen entsprechen – nicht mehr und nicht weniger. Typisch für ein internes IAM ist deshalb eine rollenbasierte Rechtevergabe, bei der jeder Rolle die jeweiligen Berechtigungen zugeordnet werden. Ist beispielsweise eine Person im Controlling tätig, braucht sie Zugriff auf alle hierfür nötigen Informationen wie etwa Leistungsdaten aus den Kostenstellen oder Lieferantenkonditionen. Diese Informationen sind häufig über verschiedene IT-Systeme verteilt. In der Berechtigungsrolle Controlling werden daher Zugangsrechte für alle betroffenen IT-Systeme gebündelt.

    Wie die praktische Einführung eines internen IAM aussieht, zeigt das Beispiel des Softwaredistributors Prianto in München. Das Unternehmen wollte sich im Februar dieses Jahres auf die bevorstehende Einführung der DSGVO vorbereiten und sich gleichzeitig gegen einen möglichen internen Datenmissbrauch mit einem strengen Rechtemanagement wappnen. Die Rechtekontrolle sollte mithilfe eines neuen Tools automatisiert werden. Auch wenn etwa ein Mitarbeiter kündigt, sollten ihm sofort die Nutzungsrechte entzogen werden, um einen vermeidbaren Informationsabfluss zu unterbinden. Mit diesen Vorgaben wandte sich Daniel Penn, Technical Consultant und Informations-Sicherheitsbeauftragter bei Prianto, an 8Man.

    Datenlecks erkennen und melden

    Das Projektteam durchleuchtete dabei alle Prozesse bei Prianto und nahm ein internes Audit und eine Risikoanalyse vor. Daraus wurden die erforderlichen Maßnahmen abgeleitet, wie das Login für die erforderliche Nachweispflicht. Diese so zu gestalten, dass auch Administratoren sie nicht manipulieren können, stellt eine große Herausforderung dar. Allerdings ist die Protokollierung und Übersicht über umfassende Daten zur Bedrohungsanalyse für IT-Administratoren eine Grundvoraussetzung, um Sicherheitsvorfälle wie unbefugte Datenzugriffe zu ermitteln und Gegenmaßnahmen zu ergreifen. „Die Meldefrist für Datenlecks an die Behörden beträgt 72 Stunden“, erklärt Penn. „Dafür sollten die Abläufe sauber protokolliert sein, um bei einem Vorfall zeitnah eine Beweissicherung auf die Beine stellen zu können. Ohne eine Bestandsaufnahme und ein stetig fortgeschriebenes Datenverarbeitungsverzeichnis ist dies kaum möglich.“
    Anschließend erfolgte die sogenannte Data-Owner-Konfiguration und Zuweisung der Ressourcen in den Fachabteilungen, die am besten wissen, wer Zugriff auf personenbezogene Daten haben sollte und in welchen Prozessen diese verwendet werden. Sie berichten an den Datenschutzbeauftragten und werden durch ihn beraten. Für die Anforderung „Segregation of Duties“ (Funktionstrennung) mit Vier-Augen-Prinzip zur Überwachung von Betrugsfällen wurden Alarme auf sensible Bereiche im Active-Directory- und Fileserver-Umfeld gesetzt. Sobald die Vermutung naheliegt, dass unbefugte Aktionen, Änderungen oder Zugriffe stattfanden – wenn etwa eine Active-Directory-Sicherheitsgruppe oder ein Nutzerkonto manipuliert oder Passwörter zurückgesetzt wurden –, wird sofort die Geschäftsführung informiert. Nach sechs Wochen war das Projekt abgeschlossen – und Prianto ist zufrieden: „Wir sind jetzt nicht nur DSGVO-konform, sondern sind hervorragend gerüstet für ein zukünftiges Zertifizierungsaudit zum ISMS nach ISO 27001 für die Erbringung von Maßnahmen zur IT-Sicherheit“, freut sich Penn.

     

    Diese Fragen sollten Unternehmer ihrem IT-Administrator stellen

    1. Wo sind unsere personenbezogenen Daten gespeichert und wer hat darauf Zugriff?

    Ziel: Schutzbedürftigkeit von Daten und Informationen festlegen, durch Datenklassifizierung und besonders geschützte Verzeichnisorte und Zugriffsrechtebeschränkung nach „Kenntnis nur, wenn nötig“-Prinzip sichere Datenhaltung herstellen.

    2. Worauf hat welcher Mitarbeiter Zugriff und wer hat in einem Zeitraum was in einem bestimmten Verzeichnis gemacht?

    Ziel: Sicherheitslücken durch eine Zugriffskontrolle mit lückenloser Protokollierung, Dokumentation und Übersicht für Bedrohungsanalysen schließen.

    3. Wer hat wann und warum welche Rechte geändert?

    Ziel: Transparenz in der IT durch die lückenlose Dokumentation.

    4. Welches sind unsere besonders sicherheitsrelevanten Active Directory-Gruppen, welche Mitarbeiter gehören dazu, welche Zugriffsrechte auf welche Daten haben sie?

    Ziel: Für die Anforderung „Segregation of Duties“ (Funktionstrennung) mit Vier-Augen-Prinzip zur Überwachung von Betrugsfällen Alarme auf sensible Bereiche im Active-Directory- und Fileserver-Umfeld setzen, mit Information an die Geschäftsführung.

    5. Wer erstellt mir schnell einen verständlichen Report über die Zugriffsrechtesituation in meinem Unternehmen?

    Ziel: Einfache Reporte für zeitnahe Auskunftsfähigkeit und Nachvollziehbarkeit über regelkonforme Berechtigungs­prozesse beim Umgang mit vertraulichen Daten und zur Bereitstellung im Audit- oder Rezertifizierungsprozess.

    6. Wer ist in seinem Fachbereich verantwortlich für die Überwachung sicherheitsrelevanter Verzeichnisse?

    Ziel: Voraussetzungen für die Überwachung sicherheitsrelevanter Verzeichnisse sind eine Data-Owner-Konfiguration (Dateneigentümer wie Fachvorgesetzte) und die Zuweisung der Ressourcen in den Fachabteilungen, für die verantwortliche Prozesse in Bereichen definiert sind, wo personenbezogene Daten verwendet werden.


    Wir freuen uns über Diskussionen und Ihre Kommentare.
    Wie in jeder Gemeinschaft ist es notwendig, dass sich alle Teilnehmer an die Netiquette halten. Durch Ihre Kommentare sollen interessante, gewinnbringende Debatten entstehen, an denen sich andere Nutzer gerne beteiligen. Beleidigungen und Schmähreden sind deshalb ebenso tabu wie Diskriminierungen und die unerlaubte Veröffentlichung persönlicher Daten. Bitte verstecken Sie sich auch nicht hinter Pseudonymen, sondern benutzen Sie Klarnamen.

    Kommentar absenden

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

    CAPTCHA-Bild

    *

    Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

    Lesen Sie weiter


    IT-Sicherheit, vernetzt

    Versicherung: Risiko IT

    Hackerangriffe, Datenspionage, Passwörterklau – Cyberkriminalität entwickelt sich weiterhin dynamisch. Umso wichtiger wird es für Unternehmen, sich für den Ernstfall zu versichern. Worauf es beim Abschluss einer solchen Police ankommt.