Blog Datensicherheit

Nichts tun. Irgendetwas tun. Das richtige tun.

Egal mit welchen Problemen Unternehmen sich konfrontiert sehen, wenn es um praktischen Datenschutz geht: nichts zu tun ist längst keine Alternative mehr. Tut man, meist punktuell, „irgendetwas“, besteht latent die...
Michael Buckbee
3 minute gelesen
Letzte aktualisierung 29. Oktober 2021

Contents

    Egal mit welchen Problemen Unternehmen sich konfrontiert sehen, wenn es um praktischen Datenschutz geht: nichts zu tun ist längst keine Alternative mehr. Tut man, meist punktuell, „irgendetwas“, besteht latent die Gefahr, dass die gewählten Maßnahmen, nicht greifen, nicht so mit der existierenden Netzwerkinfrastruktur zusammenspielen, wie man sich das in der Planungsphase vorgestellt hatte oder die Maßnahmen erweisen sich als nicht ausreichend oder schlicht falsch. Und richten – wie zum Beispiel beim Thema Berechtigungsmanagement – eher Schaden an als dass sie aktiv zum Datenschutz beitragen.

    Nicht selten werden Berechtigungen nach dem Gießkannenprinzip vergeben, zum Beispiel komplett nach Abteilungen. Gezielte Berechtigungen nach Teilbereichen zu vergeben, ist im Alltag oft viel zu mühsam. Und die Vorstellung man könne bei zu großzügig vergebenen Berechtigungen getrost auf die Mitarbeiter allein vertrauen, öffnet sicherheitstechnisch eher ein weiteres Einfallstor und steigert damit das Risiko. Doch der Druck ist groß. Sei es, weil es einem der unternehmerische Sachverstand sagt und die IT-Abteilung bestätigt, sei es, weil man unter dem Druck geltender Compliance-Regelungen oder Auditing-Anforderungen reagieren muss.

    Entscheidung mit Unbekannten

    Eine aktuelle Studie von Deloitte unter dem Titel Data Analytics im Mittelstand. Die Evolution der Entscheidungsfindung fördert denn auch zu diesem Thema einige interessante Erkenntnisse zutage. 87% der Unternehmen konstatieren eine steigende Datenmenge, die zu einem deutlich stärkeren Entscheidungsdruck führt. Das empfinden 77% der Befragten so. 40% der Befragten sehen es als ernstes Problem an, keine Übersicht über ihre Daten zu haben, bei 26% haben die Entscheidungsträger nach eigenen Angaben nur unzureichend Zugriff auf die relevanten Daten, und bei 23% liegen diese Daten erst gar nicht vor.

    Das Thema Berechtigungsmanagement ist in vielen Unternehmen noch unzureichend gelöst. Und das, obwohl die deutschen Unternehmen gesamteuropäisch betrachtet ein besonders hoch entwickeltes Datenschutzbewusstsein haben. Berechtigungsmanagement ist allerdings kein ausgesprochenes Lieblingskind der IT-Verantwortlichen. Sein Ruf ist nicht der beste: Komplex, schwer zu überblicken und trotzdem man bereits in Hardware-, Software- und / oder Infrastruktur investiert hat, kommt es bei externen Audits immer wieder zu Beanstandungen. Will man vollständig umgesetzte und gleichzeitig nachvollziehbare Prozesse etablieren, wenn es darum geht Berechtigungen zu erstellen und vergeben, gibt es offensichtlich noch Nachholbedarf. Unserer Erfahrung nach betrifft das besonders vertrauliche Daten oder Zugriffrechte, die zu weit und über die eigentlichen Privilegien hinaus vergeben worden sind.

    Die Treiber

    Es gibt durchaus eine Reihe von Unternehmen, die das für sich schon gut gelöst haben, allerdings sehen wir weit mehr Teillösungen. Nichtsdestotrotz und befeuert durch die andauernden Diskussionen zu (auch internen) Datenlecks, zum Verlust von sensiblen Informationen und zu Compliance-Pannen: Das Thema Datenschutz ist aus Sicht von Berechtigungsmanagement und Zugriffskontrolle in den Köpfen der Zuständigen angekommen.

    Allerdings muss Compliance dabei nicht immer der entscheidende Treiber sein, auch wenn er in vielen Branchen die tragende Rolle spielt wie beispielsweise in der gesamten Finanzindustrie. Kein Unternehmen kann es sich mehr leisten, Sicherheitslücken zu haben. schon gar nicht, wo hauptsächlich mit sensiblen Kundendaten gearbeitet wird oder dort, wo durch Informationslecks gravierende Wettbewerbsnachteile entstehen können. Punktlösungen wie Data Loss Prevention ersetzen an dieser Stelle kein durchgängiges Zugriffsmanagement.

    Aber es gibt noch einen weiteren Aspekt: Unternehmen mussten ihre Systeme öffnen, um mit Kunden, Partnern und Lieferanten zusammenzuarbeiten. Wir kann man also sicherstellen, dass auch in diesen Fällen die Zugriffe kontrolliert ablaufen und tatsächlich nachvollziehbar sind?

    Die richtigen Fragen stellen

    Die Themen Zugriffs- und Berechtigungsmanagement sind in der Praxis noch unzureichend adressiert, vielfach wissen Unternehmen gar nicht, wer auf welche Daten zugreifen kann, wer auf mehr Daten zugreifen kann als er es eigentlich sollte oder wo Mitarbeiter noch Berechtigungen halten, wenn sie längst in anderen Abteilungen oder Projekten beschäftigt sind. Oder noch schlimmer, wenn sie längst das Unternehmen verlassen haben.

    Und das betrifft in Folge fast alle Kernbereiche eines Unternehmens: die E-Mail-Kommunikation, das Auffinden von Daten, den Zugriff auf und das Teilen von Dateien, nicht nur innerhalb des eigenen Unternehmens, das Management von Berechtigungen auf Windows und SharePoint-Servern und so weiter.

    Kehren wir zurück zum Ausgangspunkt „Nichts tun. Irgendetwas tun. Das richtige tun“.

    Welche Fragen muss sich ein Unternehmen stellen, wenn es definieren will, wo Zugriffs- und Berechtigungsmanagement die Geschäftsprozesse absichern und unterstützen?

    Einige der wesentlichen Fragen woran man überhaupt ein mangelhaftes Berechtigungsmanagement erkennt, haben wir hier für Sie zusammengestellt:

    • Können Sie beispielsweise aus dem Stehgreif sagen, auf welche Dateien und Ordner ein Mitarbeiter zugreifen kann?
    • Lässt sich ohne weiteres nachvollziehen, welche Mitarbeiter zuletzt auf Dateien eines gemeinsam genutzten Ordners zugegriffen haben?
    • Werden die Berechtigungen automatisch angepasst, wenn Mitarbeiter neue Funktionen übernehmen, Projektgruppen oder Abteilungen wechseln?
    • Werden an sich nur temporär erteilte Zugriffsrechte wie zum Beispiel für Praktikanten oder die eben schon angeführten Projektmitarbeiter sofort gesperrt wenn sie ihre Tätigkeit beendet haben?

    Das Thema Berechtigungsmanagement ist, so denken wir, aus zwei Gründen bisher vielfach so stiefmütterlich behandelt worden. Es fehlten technisch-ganzheitliche Lösungen und die Prozesse, Zuständigkeiten, Verantwortlichkeiten waren nicht in ausreichendem Maße geklärt beziehungsweise bestehende Lösungen haben diesen Aspekt nicht ausreichend miteinbezogen. Das ist inzwischen anders.

    The post Nichts tun. Irgendetwas tun. Das richtige tun. appeared first on Varonis Deutsch.

    Wie soll ich vorgehen?

    Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:

    1

    Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.

    2

    Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.

    3

    Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.

    Michael Buckbee
    Michael Buckbee Michael hat als Systemadministrator und Softwareentwickler für Startups im Silicon Valley, die US Navy und alles dazwischen gearbeitet.

    Testen Sie Varonis gratis.

    Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
    Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
    Ohne Bedingungen und Auflagen
    Erste Schritte Vorschau des Beispielreports

    Weiter lesen

    Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

    ransomware-–-teil-3,-was-tun,-wenn-es-bereits-passiert-ist
    Ransomware – Teil 3, Was tun, wenn es bereits passiert ist
    ransomware-–-teil-3,-was-tun,-wenn-es-bereits-passiert-ist
    Carl Groves
    13. Dezember 2018
    Ransomware – Ein Leitfaden in vier Teilen. Teil 1, Ransomware, zahlen oder nicht zahlen? Und was Bitcoins damit zu tun haben Teil 2, Die wichtigsten Typen von Ransomware und welche…
    ransomware-–-ein-leitfaden-in-vier-teilen.-teil-1,-ransomware,-zahlen-oder-nicht-zahlen?-und-was-bitcoins-damit-zu-tun-haben
    Ransomware – Ein Leitfaden in vier Teilen. Teil 1, Ransomware, zahlen oder nicht zahlen? Und was Bitcoins damit zu tun haben
    ransomware-–-ein-leitfaden-in-vier-teilen.-teil-1,-ransomware,-zahlen-oder-nicht-zahlen?-und-was-bitcoins-damit-zu-tun-haben
    Carl Groves
    13. Dezember 2018
    Ransomware – Ein Leitfaden in vier Teilen. Teil 1, Ransomware, zahlen oder nicht zahlen? Und was Bitcoins damit zu tun haben Teil 2, Die wichtigsten Typen von Ransomware und welche...
    ransomware-–-teil-4,-ransomware-varianten,-wer-ist-betroffen-und-was-kann-man-tun
    Ransomware – Teil 4, Ransomware-Varianten, wer ist betroffen und was kann man tun
    ransomware-–-teil-4,-ransomware-varianten,-wer-ist-betroffen-und-was-kann-man-tun
    Carl Groves
    13. Dezember 2018
    Ransomware – Ein Leitfaden in vier Teilen. Teil 1, Ransomware, zahlen oder nicht zahlen? Und was Bitcoins damit zu tun haben Teil 2, Die wichtigsten Typen von Ransomware und welche...
    ransomware-–-teil-2,-die-wichtigsten-typen-von-ransomware-und-welche-art-von-verschlüsselung-sie-benutzen
    Ransomware – Teil 2, Die wichtigsten Typen von Ransomware und welche Art von Verschlüsselung sie benutzen
    ransomware-–-teil-2,-die-wichtigsten-typen-von-ransomware-und-welche-art-von-verschlüsselung-sie-benutzen
    Carl Groves
    13. Dezember 2018
    Ransomware – Ein Leitfaden in vier Teilen. Teil 1, Ransomware, zahlen oder nicht zahlen? Und was Bitcoins damit zu tun haben Teil 2, Die wichtigsten Typen von Ransomware und welche...