Egal mit welchen Problemen Unternehmen sich konfrontiert sehen, wenn es um praktischen Datenschutz geht: nichts zu tun ist längst keine Alternative mehr. Tut man, meist punktuell, „irgendetwas“, besteht latent die Gefahr, dass die gewählten Maßnahmen, nicht greifen, nicht so mit der existierenden Netzwerkinfrastruktur zusammenspielen, wie man sich das in der Planungsphase vorgestellt hatte oder die Maßnahmen erweisen sich als nicht ausreichend oder schlicht falsch. Und richten – wie zum Beispiel beim Thema Berechtigungsmanagement – eher Schaden an als dass sie aktiv zum Datenschutz beitragen.
Nicht selten werden Berechtigungen nach dem Gießkannenprinzip vergeben, zum Beispiel komplett nach Abteilungen. Gezielte Berechtigungen nach Teilbereichen zu vergeben, ist im Alltag oft viel zu mühsam. Und die Vorstellung man könne bei zu großzügig vergebenen Berechtigungen getrost auf die Mitarbeiter allein vertrauen, öffnet sicherheitstechnisch eher ein weiteres Einfallstor und steigert damit das Risiko. Doch der Druck ist groß. Sei es, weil es einem der unternehmerische Sachverstand sagt und die IT-Abteilung bestätigt, sei es, weil man unter dem Druck geltender Compliance-Regelungen oder Auditing-Anforderungen reagieren muss.
Entscheidung mit Unbekannten
Eine aktuelle Studie von Deloitte unter dem Titel Data Analytics im Mittelstand. Die Evolution der Entscheidungsfindung fördert denn auch zu diesem Thema einige interessante Erkenntnisse zutage. 87% der Unternehmen konstatieren eine steigende Datenmenge, die zu einem deutlich stärkeren Entscheidungsdruck führt. Das empfinden 77% der Befragten so. 40% der Befragten sehen es als ernstes Problem an, keine Übersicht über ihre Daten zu haben, bei 26% haben die Entscheidungsträger nach eigenen Angaben nur unzureichend Zugriff auf die relevanten Daten, und bei 23% liegen diese Daten erst gar nicht vor.
Das Thema Berechtigungsmanagement ist in vielen Unternehmen noch unzureichend gelöst. Und das, obwohl die deutschen Unternehmen gesamteuropäisch betrachtet ein besonders hoch entwickeltes Datenschutzbewusstsein haben. Berechtigungsmanagement ist allerdings kein ausgesprochenes Lieblingskind der IT-Verantwortlichen. Sein Ruf ist nicht der beste: Komplex, schwer zu überblicken und trotzdem man bereits in Hardware-, Software- und / oder Infrastruktur investiert hat, kommt es bei externen Audits immer wieder zu Beanstandungen. Will man vollständig umgesetzte und gleichzeitig nachvollziehbare Prozesse etablieren, wenn es darum geht Berechtigungen zu erstellen und vergeben, gibt es offensichtlich noch Nachholbedarf. Unserer Erfahrung nach betrifft das besonders vertrauliche Daten oder Zugriffrechte, die zu weit und über die eigentlichen Privilegien hinaus vergeben worden sind.
Die Treiber
Es gibt durchaus eine Reihe von Unternehmen, die das für sich schon gut gelöst haben, allerdings sehen wir weit mehr Teillösungen. Nichtsdestotrotz und befeuert durch die andauernden Diskussionen zu (auch internen) Datenlecks, zum Verlust von sensiblen Informationen und zu Compliance-Pannen: Das Thema Datenschutz ist aus Sicht von Berechtigungsmanagement und Zugriffskontrolle in den Köpfen der Zuständigen angekommen.
Allerdings muss Compliance dabei nicht immer der entscheidende Treiber sein, auch wenn er in vielen Branchen die tragende Rolle spielt wie beispielsweise in der gesamten Finanzindustrie. Kein Unternehmen kann es sich mehr leisten, Sicherheitslücken zu haben. schon gar nicht, wo hauptsächlich mit sensiblen Kundendaten gearbeitet wird oder dort, wo durch Informationslecks gravierende Wettbewerbsnachteile entstehen können. Punktlösungen wie Data Loss Prevention ersetzen an dieser Stelle kein durchgängiges Zugriffsmanagement.
Aber es gibt noch einen weiteren Aspekt: Unternehmen mussten ihre Systeme öffnen, um mit Kunden, Partnern und Lieferanten zusammenzuarbeiten. Wir kann man also sicherstellen, dass auch in diesen Fällen die Zugriffe kontrolliert ablaufen und tatsächlich nachvollziehbar sind?
Die richtigen Fragen stellen
Die Themen Zugriffs- und Berechtigungsmanagement sind in der Praxis noch unzureichend adressiert, vielfach wissen Unternehmen gar nicht, wer auf welche Daten zugreifen kann, wer auf mehr Daten zugreifen kann als er es eigentlich sollte oder wo Mitarbeiter noch Berechtigungen halten, wenn sie längst in anderen Abteilungen oder Projekten beschäftigt sind. Oder noch schlimmer, wenn sie längst das Unternehmen verlassen haben.
Und das betrifft in Folge fast alle Kernbereiche eines Unternehmens: die E-Mail-Kommunikation, das Auffinden von Daten, den Zugriff auf und das Teilen von Dateien, nicht nur innerhalb des eigenen Unternehmens, das Management von Berechtigungen auf Windows und SharePoint-Servern und so weiter.
Kehren wir zurück zum Ausgangspunkt „Nichts tun. Irgendetwas tun. Das richtige tun“.
Welche Fragen muss sich ein Unternehmen stellen, wenn es definieren will, wo Zugriffs- und Berechtigungsmanagement die Geschäftsprozesse absichern und unterstützen?
Einige der wesentlichen Fragen woran man überhaupt ein mangelhaftes Berechtigungsmanagement erkennt, haben wir hier für Sie zusammengestellt:
Das Thema Berechtigungsmanagement ist, so denken wir, aus zwei Gründen bisher vielfach so stiefmütterlich behandelt worden. Es fehlten technisch-ganzheitliche Lösungen und die Prozesse, Zuständigkeiten, Verantwortlichkeiten waren nicht in ausreichendem Maße geklärt beziehungsweise bestehende Lösungen haben diesen Aspekt nicht ausreichend miteinbezogen. Das ist inzwischen anders.
The post Nichts tun. Irgendetwas tun. Das richtige tun. appeared first on Varonis Deutsch.