Glasklare Organisation

07.06.2011

Viele Unternehmen richten die Sicherung ihrer IT-Systeme auf Angriffe von außen. Interne Schwachstellen in Umgang mit Unternehmensinformationen finden dagegen immer noch zu wenig Beachtung.

Auf keinen Fall dürfen Informationen intern und schon gar nicht extern in die falschen Hände gelangen. Doch Wirtschaftskorruption und Mitarbeiterbetrug sind heutzutage keine Seltenheit mehr. In den letzten Jahren haben Fälle von internem Datenmissbrauch und Datenklau stark zugenommen. Dabei reichen die Folgen von Imageschädigungen bis zu Geldschäden in Milliardenhöhe.

Zugriffsrechte regeln Datennutzungen

Haben Personen unbefugt Zugriff auf Daten in einem Unternehmen, kann es zu Sicherheitslücken und somit zu Problemen kommen. Aktuell hat eine Studie der Wirtschaftsprüfungsgesellschaft KPMG belegt, dass Innentäter in Unternehmen leichtes Spiel haben. Besonders mittelständische Unternehmen weisen bei der Vergabe von Rechtevergaben Defizite auf. Aus diesem Grund steht Risikoprävention bei Datenzugriffen ganz oben auf der Liste deutscher Betriebe. Von den 300 befragten Unternehmen gaben 87 Prozent an, ihr Berechtigungsmanagement überarbeiten zu wollen.[1]

Aktuell haben nach Schätzungen über 90 Prozent der Mitarbeiter in Unternehmen zu viele Zugriffsrechte.

Verwaltungschaos im Active Directory

Um im Fall einer Wirtschaftsprüfung umgehend einen vollständigen Report zu liefern, muss Compliance jederzeit erfüllt werden. Im Mai 2010 bestätigte eine Studie von CA Technologies jedoch Probleme, wenn es um Compliance-Anforderungen geht. Als gravierenden Punkt nannte die Studie zuviel manuell durchgeführte Vorgänge und Zeitmangel bei der Bearbeitung von Prozessen.[2]

Im Idealfall funktioniert eine Rechteorganisation nach dem "Need-to-know-Prinzip" bei dem Mitarbeiter so viele Informationen bekommen, wie sie für ihre tägliche Arbeit brauchen, aber sowenig, dass ein Sicherheitsrisiko weitestgehend ausgeschlossen werden kann.

Integrierte Lösungen für Berechtigungsmanagement verhindern Chaos

Um kontinuierlich gesetzliche Anforderungen zu erfüllen und Sicherheitsstandards zu verbessern, sind Software Applikationen sinnvoll, die Mehrfachaufwendungen vermeiden. Dies belegte bereits 2007 eine gemeinsame Studie des Lehrstuhls für Betriebswirtschaft der Friedrich-Alexander-Universität Erlangen-Nürnberg und Novell.[3]

Unternehmen ab 5.000 PC-Nutzern setzen vielfach Identity Management Lösungen ein. Eine Systemeinführung für Identity-Management-Lösungen dauert durchschnittlich zwei Jahre. Viele mittelständische und große Unternehmen scheuen allerdings den Einsatz von Software-Lösungen aus Angst vor Kosten und zeitlichem Aufwand bei der Installation und Mitarbeitereinführung.[4]

Auf die Größe kommt es nicht mehr an

In den letzten Jahren haben unterschiedliche Unternehmen auf diese Probleme reagiert und neue Berechtigungsmanagement-Lösungen entwickelt. Anders als Identity Management Lösungen arbeiten Integrated Data Security Management Lösungen mit dem Bottom-up-Ansatz. Dabei analysiert das Programm bei der Installation selbstständig den Ist-Zustand der gesamten Berechtigungslage. Besonderer Vorteil: Neben großen Unternehmen sind die neuen Berechtigungsmanagement-Lösungen auch für mittelständische und kleine Unternehmen ausgelegt. Einsetzbar ab 100 Nutzern im Active Directory schließt Berechtigungsmanagement-Software die Lücke zwischen komplexen IdM-Lösungen und manueller Rechtevergabe.

Die Handhabung der Programme ist benutzerfreundlich. Leiter von Fachabteilungen, Data Owner und Helpdesk Leiter können mit den Programmen arbeiten und selbst Berechtigungen vergeben. Somit geschehen Rechtevergaben unmittelbar nach Zuständigkeit betroffener Mitarbeiter, was IT-Abteilungen entlastet.

Klare visuelle Strukturen erleichtern Administratoren und IT-Leitern, die Gesamtlage aller Berechtigungen und Einzelberechtigungen zu erfassen. Tasks und Wizards erhöhen die Standardisierung in der täglichen Arbeit und verringern Sonderfälle. Im Berechtigungsmanagement entsteht ein automatisierter Workflow. Der Arbeitsumfang nimmt einen angemessenen Umfang an.

Standardisierungen der Systemabläufe erleichtern präventive Handlungen im Risikomanagement. Treten riskante Berechtigungen oder Gefahren auf, melden Warnsignale dies unverzüglich und ermöglichen Administratoren einen frühen Eingriff, um die Sicherheit wiederherzustellen. Versteckte Account-Leichen, wie sie bei IDM-Lösungen vorkommen können, haben bei den neuen Berechtigungsmanagement-Lösungen keine Möglichkeit zu bestehen, da ausnahmslos alle Vergaben erfasst werden.

Damit haben Entwickler integrierter Management-Lösungen auf den Life-Circle reagiert. Abteilungs- oder Positionswechsel, Stellvertretungen und Verlauf von Ausbildungen führen zu geänderten Situationen der Berechtigungslage. Neue Rechte kommen hinzu und alte müssen unter Umständen aufgehoben werden. Beispielsweise sollten die Rechte über Änderung und Genehmigung eines Finanzplanes nicht einer Person innewohnen.

Auch das "Auszubildenden-Problem" ist in den neuen Management-Lösungen aufgenommen. Rechtevergabe auf Zeit heißt die Antwort: Bereits am Anfang einer Rechtevergabe wird ein Zeitraum festgelegt. Nach Ablauf dieses Zeitraums hebt das Programm betroffene Zugriffsrechte auf, es sei denn, das Recht wird auf Bedarf verlängert.

Hilfreich für alle Vorgänge im Berechtigungsmanagement sind die automatischen Dokumentationen integrierter Software-Lösungen. Protokolle zeichnen jede Aktion auf, sodass rückblickend nachvollzogen werden kann, welche Person zu einem bestimmten Zeitpunkt ein kritisches Zugriffsrecht inne hatte oder vergeben hat. Alle relevanten Daten zu Person, Zeit Datum und Aktion sind gespeichert und lassen sich auf Wunsch nachvollziehen. Aussagekräftige Berichte für Wirtschaftsprüfungen oder Geschäftsleitung brauchen mit Hilfe dieser Reports ein Minimum an Zeit, bei maximaler Berichterstattung.

Quellen

[1] Quelle: kpmg.de, Studie: Wirtschaftskriminalität in Deutschland 2010 – Fokus Mittelstand, www.kpmg.de
[2] Quelle: CA Technologies, Autor: Martin Kussler, Datum: 06.05.2010: www.ca.com
[3] Studie des Lehrstuhls für Betriebswirtschaft der Friedrich-Alexander-Universität Erlangen-Nürnberg und Novell: "Vorteile und Herausforderungen IT-gestützter Compliance-Erfüllung", www.novell.com
[4] Quelle: PricewaterhouseCoopers, Studie: Compliance und Unternehmenskultur – Zur aktuellen Situation in deutschen Großunternehmen, www.pwc.de

Der Originaltext stammt aus dem e-commerce Magazin (03/11).

Kommentare

Bitte beachten Sie unsere Informationen zum Datenschutz.

blog comments powered by Disqus

Autor

Stephan Brack

Stephan Brack ist Geschäftsführer der protected-networks.com GmbH.

Artikel einreichen

Top Artikel

Unsere Experten

Michael F. Schratt
MfS-Enterprise

Alle Experten
Michael Rudrich
Websense

Alle Experten
Andreas G. Weyert
Hellmann Worldwide Logistics GmbH & Co. KG

Alle Experten
Marco Di Filippo
Compass Security AG

Alle Experten
Jürgen Wasem-Gutensohn
PR-COM GmbH

Alle Experten

alle Experten

Premium Lösungen

Innominate mGuard
in Appliances (Komplettsysteme)
Innominate Security Technologies AG
ViPNet SAFE DISK Mobile
in Verschlüsselung / Kryptographie
INFOTECS GmbH
ViPNet SAFE DISK
in Verschlüsselung / Kryptographie
INFOTECS GmbH
Elektronische Signatur - xyzmo digital Seal
in Content Security
visiseal.com
SecureMail Archive (EMA®)
in E-Mail-Security
IT-Security Group

Marktübersicht

Premium Services

Sicherheitsanalysen
nextsolutions - Marketing & Technologiemanagement. Awareness.
06667 Weißenfels
Sicherheitsberatung & -strategie
known_sense
50672 Köln
Sicherheitsberatung & -strategie
nextsolutions - Marketing & Technologiemanagement. Awareness.
06667 Weißenfels
Sicherheitsanalysen
Tele-Consulting security | networking | training GmbH
71126 Gäufelden
IT-Services
Hanse Escrow Management GmbH
22844 Norderstedt