Thomas Reeb

Welche sind aus ihrer Erfahrung die größten Sicherheitslücken in der IT deutscher Unternehmen?

Die größten Sicherheitslücken ergeben sich aus nicht gemanagten Zugriffsrechten. Wenn beispielsweise Mitarbeiter das Unternehmen verlassen oder die Position wechseln, bleibt oft der Zugang zu Anwendungen und kritischen Daten bestehen. Oder die Rechtevergabe selbst geschieht unkontrolliert, sozusagen auf Zuruf. So kann über die Jahre ein Rechtechaos entstehen, das auch nicht Berechtigten Zugriff beispielsweise auf Entwicklungs- oder Finanzdaten zulässt.

Wer ist hier besonders gefährdet und warum?

Besonders gefährdet sind diejenigen, die vermehrt von Umorganisationen betroffen sind, die eine hohe Mitarbeiterfluktuation haben, beispielsweise viele Praktikanten oder Betriebsstudenten. Des weiteren Branchen oder Bereiche mit besonders kritischen Daten wie der Finanzdienstleistungs-, Pharma- oder Gesundheitssektor, aber auch der innovative Mittelstand mit seinen Entwicklungsdaten. Gefährdet, wenn man das so ausdrücken darf, sind auch Unternehmen die gesetzliche Auflagen wie GDPdU oder BaFin erfüllen müssen. Fehlt dort die Transparenz bei den Zugriffsrechten wird der Abschluss nicht durchgewunken oder es gibt eine schlechte Risikobewertung.

Worauf gilt es besonders zu achten, um die eigenen Daten besser zu schützen?

Es beginnt bei Risikobewusstsein und Sorgfalt. Das darf sich nicht auf die Business-Ebene beschränken und dann vor der Infrastrukturebene halt machen. Kein Unternehmer würde interne Finanzdaten in der Kantine auslegen.
Gleichzeitig geht es darum, Transparenz in die bereits existierenden Berechtigungen zu bekommen und die Prozesse der Rechtevergabe zu regeln und nachvollziehbar zu machen. Werden Rechte nur noch in festgelegten Genehmigungs-Prozessen mit Vier-Augen-Prinzip vergeben, ist das Risiko nicht autorisierter Zugriffe auf ein Minimum reduziert. Eine Provisioning-Lösung leistet hier gute Dienste. Mit ihr lassen sich auch in regelmäßigen Abständen die vergebenen Berechtigungen legitimieren, damit sich nicht wieder Wildwuchs breit macht.

Wie kann man die Einhaltung der Compliance überprüfen?

Wie gesagt, hier ist eine gute Provisioning-Lösung mit integrierten Reporting-Funktionen unumgänglich. Für eine saubere Compliance müssen dann die Berechtigungen, die unter Umgehung des Provisioning-Systems vergeben wurden, über Kontrollmechanismen wie Soll-ist-Abgleiche identifiziert und automatisch deaktiviert werden. Das ist essentiell für ein zuverlässiges Risikomanagement und eine saubere Compliance.

Wie eine aktuelle Studie der Wirtschaftsprüfungsgesellschaft KPMG zeigt, werden bis zu 68 Prozent der wirtschaftskriminellen Handlungen von einem internen Kontrollsystem durch Schwachstellenerkennung aufgedeckt. Das ist schon enorm viel.

Checkliste für eine Zugriffssicherheit

• Berechtigungsinformationen, die sich über Jahre in den gewachsenen Dateisystemen angesammelt haben, müssen (möglichst automatisiert) ausgelesen, geprüft und bereinigt werden

• Schwachstellen in Dateisystemen (z.B. verschachtelte Freigaben) müssen identifiziert und behoben werden

• Die alte Dateisystemstruktur muss in eine sicher verwaltbare, transparente  Struktur überführt werden (Tool-Unterstützung!)

• Es müssen geregelte Prozessen bei der Rechtevergabe mit Vier-Augen-Prinzip eingeführt werden.

• Ebenso Kontrollmechanismen: Wurden Rechte unter Umgehung des Systems vergeben? Entsprechen Rechte noch den aktuellen Bedingungen (-> Re-Zertifizierung)?

Thomas Reeb, Vorstand des Münchner Experten für Sicherheitssoftware im Bereich Provisioning und Zugriffsmanagement, econet AG