Langfinger im eigenen Haus: Kontrollierte Vergabe von Zugriffsrechten gefordert

Sensible Daten frisiert, vertrauliche Informationen gestohlen - in deutschen Unternehmen haben Gauner und Bösewichte oft leichtes Spiel. Obwohl das Problem des Datendiebstahls längst bekannt scheint, hapert es jedoch besonders in mittelständischen Unternehmen häufig an einer ersten Sicherheitsvorkehrung - der Vergabe von Zugriffsrechten.

Eine aktuelle Studie der Wirtschaftsprüfungsgesellschaft KPMG unter 300 Unternehmen aus allen Branchen gibt Anlass zur Sorge: Rund 80 Prozent der Betriebe sehen ein ernstes Problem in der betriebsinternen Gaunerei. Ein Drittel der befragten Unternehmen gab an, schon einmal Opfer von Kriminellen in der eigenen Belegschaft geworden zu sein. Thomas Reeb, Vorstand des Münchner Experten für Sicherheitssoftware im Bereich Identitäts- und Zugriffs-Management Econet, kann ein Lied davon singen: "Oft hapert es schon daran, Risikofaktoren und Compliance-Schwachstellen aufzuspüren." Allzu oft erhalte Hinz und Kunz Zugriff auf unternehmenskritische Informationen, bemängelt der Branchenkenner.

Das Thema Risikoprävention bei IT-Rechten steht in deutschen Betrieben deshalb ganz oben auf der Agenda 2010, wie die KPMG-Studie zeigt: 87 Prozent der Befragten wollen ihr Berechtigungskonzept überarbeiten. Econet-Vorstand Reeb: "Klare Regeln bei Zugriffsrechten sind essentiell für die Informationssicherheit. Deshalb sollten auch nur berechtige Datenverantwortliche in der Lage sein, vorgeschriebene Zugriffsrechte zu vergeben - und auch das nur über exakt dokumentierte Antrags- und Genehmigungs-Workflows." Dies lasse sich mithilfe einer Provisioning-Lösung abdecken.

Eine saubere Compliance bedarf auch einer sauberen Überprüfung: Dabei müssen Berechtigungen, die unter Umgehung des Provisioning-Systems vergeben wurden, über Kontrollmechanismen wie Soll-Ist-Abgleiche identifiziert und automatisch deaktiviert werden. Mit Erfolg, wie die KPMG-Studie zeigt: Bis zu 68 Prozent der wirtschaftskriminellen Handlungen werden von einem internen Kontrollsystem durch Schwachstellenerkennungen aufgedeckt.

Brennpunkt Mittelstand

In mittelständischen Betrieben existiert häufig ein weiteres Problem. Familiäre Vertrauensverhältnisse führen hier oft zum laxen Umgang mit Daten und Rechten. Reeb: "Hier müssen die über Jahre gewachsene Intransparenz bei Berechtigungen beseitigt und mögliche Risiken rasch durch ein Identitäts-Management entschärft werden." Selbst im Mittelstand kommt es schnell zu Millionen von Berechtigungen, die organisiert werden müssen. Eine gute Kontrolllösung hilft bei einer lückenlosen Dokumentation der Zugriffberechtigungen und bei der Identifikation von Schwachstellen im Dateisystem. Und dies scheine dringend notwendig: Laut der KPMG-Studie rechnen zwei Drittel der befragten Unternehmen in den nächsten Jahren mit einer Zunahme der Kriminalität im eigenen Betrieb.

Weitere Informationen finden Sie unter www.econet.de.

LANline/jos