Weekly News

Immer wieder versuchen Hacker etwa unbefugt an die Kundendaten von Onlineshops zu gelangen. SECURITY

Geordnete Zugriffsrechte für Datennetzwerke

Anfang September 2017 wurde ein gigantischer Datendiebstahl in den USA bekannt. Hackern war es gelungen, in die Datenbankbestände der Wirtschaftsauskunftei Equifax zu gelangen und sich dort nicht nur der Telefonnummern und Adressen, sondern auch der Sozialversicherungsnummern von 143 Millionen US-Amerikanern zu bemächtigen. 

Man kann so viel technischen Schutz wie möglich einsetzen, eine Schwachstelle bekommt ein Unternehmen nur sehr schlecht in den Griff: den Menschen selbst.

Da diese Nummern zur Identifizierung etwa bei Ratenkreditkäufen dienen und einen US-Bürger von der Wiege bis zur Bahre begleiten, ist dieser Datenklau besonders gravierend. Rund 40 Prozent der US-amerikanischen Bevölkerung sind betroffen. Nun geht man zwar auf der anderen Seite des Atlantiks etwas unbekümmerter mit personenbezogenen Daten um als hierzulande – doch sollte man sich in Europa oder auch im datensensiblen Deutschland deshalb noch lange nicht in Sicherheit wähnen. 

Attacken gibt es auch hierzulande, selbst im großen Stil. Immer wieder versuchen Hacker etwa unbefugt an die Kundendaten von Onlineshops zu gelangen. Man kann so viel technischen Schutz wie möglich einsetzen, eine Schwachstelle bekommt ein Unternehmen nur sehr schlecht in den Griff: den Menschen selbst. Immer wieder sind es Leichtsinn, Unwissenheit oder Fahrlässigkeit, mit denen er Tor und Tür öffnet. Aus diesem Grund ist eine vernünftige und konsequente Verwaltung von Berechtigungen auf die Dateien des Unternehmensservers unerlässlich. Sie unterstützt dabei, die Gefahr eines unberechtigten Zugriffs auf Firmendaten zu minimieren.

Gerade in mittelständischen Unternehmen mit „gewachsenen“ Strukturen sind Prozesse möglicherweise noch nicht durchstrukturiert. So werden beispielsweise beim Ausscheiden eines Mitarbeiters nicht immer gleich die IT-Administratoren unterrichtet, die für eine Sperrung des Accounts sorgen.

Auch sogenannte Überberechtigungen können zum Problem werden. IT-Sicherheitsexperten weisen immer wieder darauf hin, dass ein Berechtigungsmanagement bei IT-Netzwerken mit Bordmitteln und manuell kaum noch ausreichend ist – zum einen, weil der administrative Aufwand zu groß ist und zum anderen, weil dadurch die Benutzerdatenbestände inkonsistent werden. Ein gutes Identity & Access Management ermöglicht eine strukturierte Vergabe der Zugriffsmöglichkeiten an Mitarbeiter, speichert und dokumentiert sie und wertet die Benutzeraktivitäten aus.

Derartige Systeme werden mit der EU-Datenschutz-Grundverordnung (DSGVO), die im kommenden Jahr in Kraft treten wird, immer wichtiger. Unternehmen müssen „geeignete technische und organisatorische Maßnahmen“ ergreifen, vor allem für Datensicherheit und Datenschutz sensibler Daten. Mit Inkrafttreten werden die Auflagen, die eine Meldepflicht von Verstößen vorschreiben, verschärft und die Meldefristen auf 72 Stunden verkürzt. Zudem drohen Unternehmen, die gegen die neuen Vorschriften verstoßen, empfindliche Geldstrafen, die bis zu zwei Prozent des Jahresumsatzes betragen können.

Teile diesen Artikel

Journalist

Frank Tetzel

Weitere Artikel