Berechtigungsmanagement

Zugriffsrechte sorgen für innere Sicherheit

von - 03.04.2015
Zugriffsrechte sorgen im Firmennetz für Innere Sicherheit
Foto: Fotolia / dizain
Mit der Dezentralisierung der Firmen-IT wird das Berechtigungsmanagement zu einer zentralen Herausforderung. Gefährliche Altlasten stellen dabei ein hohes Risiko für die Unternehmensdaten dar.
Firmennetzwerke sind in der Regel vor den wichtigsten Gefahren von außen geschützt. Attacken aus dem Internet blockt eine professionelle Firewall und Security-Lösungen für Unternehmen helfen, Angriffe durch Malware abzuwehren. Die Gefahr von innen wird dagegen meistens unterschätzt.
Datensicherheit: 38 Prozent der auf der it-sa 2014 befragten IT-Profis schätzten den Schaden durch schlechtes Berechtigungsmanagement auf 3 bis 6 Milliarden Euro.
Datensicherheit: 38 Prozent der auf der it-sa 2014 befragten IT-Profis schätzten den Schaden durch schlechtes Berechtigungsmanagement auf 3 bis 6 Milliarden Euro.
Wie Studien von Marktforschungsunternehmen immer wieder zeigen, geht ein Großteil der Bedrohungen nicht auf das Konto von Kriminellen außerhalb des Unternehmens, sondern wird von Mitarbeitern verursacht – absichtlich oder unabsichtlich.
Laut der aktuellen Corporate-Trust-Studie „Cybergeddon“ beläuft sich der Schaden, der durch Industriespionage entsteht, in Deutschland jährlich auf rund 12 Milliarden Euro. Das Sicherheitsunternehmen Protected Networks befragte auf der Messe für IT-Sicherheit it-sa 2014 Fach-und Führungskräfte für Sicherheit und IT nach ihrer Einschätzung, wie viel von den 12 Milliarden Euro auf schlechtes Berechtigungsmanagement zurückzuführen sei. 38 Prozent der Befragten schätzten, dass bis zu 6 Milliarden auf ein schlechtes oder falsches Berechtigungsmanagement zurückgehen könnten.

Azubi-Effekt

Im Netzwerk eines Unternehmens sollte jeder Anwender nur auf diejenigen Daten zugreifen dürfen, die er für die tägliche Arbeit benötigt. Dieser Grundsatz nennt sich Need-to-know-Prinzip.
Need-to-know-Prinzip: Im Unternehmen sollte jeder Anwender nur auf diejenigen Daten zugreifen dürfen, die er für die tägliche Arbeit benötigt.
Need-to-know-Prinzip: Im Unternehmen sollte jeder Anwender nur auf diejenigen Daten zugreifen dürfen, die er für die tägliche Arbeit benötigt.
(Quelle: Shutterstock / alexmillos )
Die Einhaltung dieses Prinzips wird jedoch schwierig, wenn zu den Angestellten, die einer fest umrissenen Tätigkeit nachgehen, Mitarbeiter mit wechselnden Einsatzorten und Tätigkeiten hinzukommen. Zu diesem Personenkreis zählen beispielsweise Praktikanten, Auszubildende, Studenten oder Zeitarbeitskräfte. Solche Mitarbeiter werden vielfach in Zeiten von Produktionsspitzen und flexibel in unterschiedlichen Abteilungen eingesetzt. Ein Abteilungswechsel erfordert aber meist auch neue Zugriffsberechtigungen auf die Firmendaten.
Werden nun die alten Berechtigungen nicht konsequent wieder entzogen, kann sich für einen Benutzer ein stattliches Set an Berechtigungen anhäufen, das sich in vielen Fällen von dem eines Administrators nur noch wenig unterscheidet. Ohne Kontrolle oder die regelmäßige Überprüfung der aktuellen Berechtigungen fällt das mitunter jahrelang nicht auf. Eine solche Anhäufung von Berechtigungen heißt im Fachjargon Azubi-Effekt.
Seite
  1. Teil: Zugriffsrechte sorgen für innere Sicherheit
  2. Teil: Projekt-Effekte und die dezentralisierte IT
  3. Teil: Berechtigungen verwalten per Access Governance
Verwandte Themen

Mehr zum Thema