- Anzeigen -

Wo der Rechtemissbrauch stattfindet


Studie belegt: Mitarbeiter suchen aktiv nach sensiblen Informationen, die nicht für sie bestimmt sind
92 Prozent der Befragten räumen ein, dass Mitarbeiter versuchen auf Informationen zuzugreifen, die sie nicht brauchen, um ihre tägliche Arbeit zu erledigen

- Anzeigen -





One Identity hat in einer globalen Studie herausgefunden, dass eine überwältigende Mehrzahl von Beschäftigten bewusst nach Informationen sucht, auf die sie nicht zugreifen dürften. Die Resultate legen nahe: Unternehmen haben in dieser Hinsicht ein massives Problem mit ihrer eigenen Belegschaft. Die von Dimensional Research unter mehr als 900 IT-Sicherheitsexperten durchgeführte globale Studie beschäftigt sich mit Trends und Herausforderungen beim Verwalten von Zugriffsberechtigungen für Unternehmensdaten. Zu den wichtigsten Befunden gehört, dass 92 Prozent der Befragten versuchen auf Informationen zuzugreifen, die sie für ihre tägliche Arbeit nicht benötigen. Beinahe einer von vier Befragten (23 Prozent) sagte, dass dies sogar häufig der Fall sei.

Besonders alarmierend ist die Tatsache, dass gerade IT-Sicherheitsexperten selbst zu den schlechtesten Hütern von Unternehmensdaten gehören. Einer von drei Befragten räumte ein, bereits auf sensible Informationen zugegriffen zu haben. Informationen, die nicht notwendig waren um die tägliche Arbeit zu verrichten. Die Resultate sind umso erschreckender, wenn man bedenkt, dass der Missbrauch mit Hilfe von privilegierten Zugriffsberechtigungen erfolgte, die mit der Position als IT-Sicherheitsexperte verbunden sind.

Weitere Ergebnisse der Studie, die mit diesen Ergebnissen direkt in Zusammenhang stehen:

● >> Informationen zu Leistung und Erfolg des Unternehmens sind "heiße Ware": Mehr als einer von drei Befragten (36 Prozent) hat eingeräumt nach sensiblen Informationen zu Leistung und Erfolg des Unternehmens gesucht oder sogar schon darauf zugegriffen zu haben. Unabhängig davon, ob diese Informationen tatsächlich erforderlich gewesen wäre.

● >> IT-Sicherheits-Manager tragen aufgrund ihrer privilegierten Position und den damit verbundenen Zugriffsberechtigungen die größte Verantwortung: 71 Prozent von ihnen gaben zu, nach für sie nicht notwendigen Informationen zu suchen, verglichen mit lediglich 56 Prozent der Mitarbeiter außerhalb des Management-Teams. 45 Prozent der Befragten auf Management-Ebene räumten ein, gezielt nach sensiblen Unternehmens-informationen zu suchen oder bereits darauf zugegriffen zu haben. Das taten im Vergleich dazu nur 17 Prozent der Mitarbeiter in IT-Teams.

● >> Je kleiner das Unternehmen, desto mehr wird "geschnüffelt": 38 Prozent der IT-Sicherheitsexperten in Unternehmen mit 500 bis 2.000 Mitarbeitern räumten ein, aktiv nach solchen Unternehmensinformationen zu suchen, während das in Unternehmen mit mehr als 5.000 Beschäftigten nur 29 Prozent tun.

● >> Wer in Technologieunternehmen arbeitet, interessiert sich ganz besonders für sensible Informationen: 44 Prozent der Befragten, die in einem Technologieunternehmen beschäftigt sind, haben schon aktiv nach Informationen zur Unternehmensperformance gesucht, verglichen mit 36 Prozent der Befragten aus dem Finanzwesen, 31 Prozent aus der Industrie und nur 21 Prozent aus dem Gesundheitswesen.

John Milburn, President und General Manager von One Identity: "Während Insider-Bedrohungen oftmals gar nicht beabsichtigt sind, ist es offensichtlich weit verbreitet, dass Mitarbeiter sich bei Daten und Informationen einmischen, die nicht in ihren Verantwortungsbereich fallen. Und es ist gerade dieses offensichtlich weit verbreitete Phänomen, mit dem Mitarbeiter sich und die Firma in Teufels Küche bringen. Ohne übergreifende Governance der Zugriffsberechtigungen und Rechtevergaben stellen Unternehmen ihren Angestellten einen Freifahrtschein aus, nach Belieben auf sensible Informationen zuzugreifen. Dazu gehören Unternehmenszahlen, vertrauliche Kundendaten oder private Dateien der Geschäftsführung. Geraten solche Informationen in die falschen Hände, sind die Folgen immer schwerwiegend. Der Verlust von Unternehmens- und Kundendaten oder deren Offenlegung und Verstöße gegen geltende Compliance-Richtlinien sind mögliche Risiken, die unwiderruflich Schaden an Image oder Finanzkraft eines Unternehmens anrichten."

Mit Risiken beim Zugriffs- und Berechtigungsmanagement umgehen
Die veröffentlichten Resultate der One Identity Global State of IAM Study zeigen: Unternehmen halten sich zu wenig an empfohlene Praktiken, wenn es um grundlegende Maßnahmen des Identitäts- und Access-Managements geht. Was das unberechtigte Herumschnüffeln von Beschäftigten anbelangt, tragen eine Rollen-basierte Zugriffskontrolle und eine strikte Governance der Rechte und Genehmigungen dazu bei, potentiell böswillige Akteure davon abzuhalten auf vertrauliche und sensible Informationen zuzugreifen. In Bezug auf "zu neugierige" IT-Sicherheitsexperten im Besonderen können Firmen Identity Intelligence benutzen, um herauszufinden, wer über erhöhte Rechte verfügt und wo genau der Rechtemissbrauch stattfindet, um dagegen vorzugehen. Eine Methode, die insbesondere greift, wenn IT-Sicherheitsverantwortliche selbst zu denen gehören, die unbefugt auf sensible Informationen zugreifen.

Auch ein weiterer Bericht, der ebenfalls auf den Ergebnissen der Studie basiert, hat wenig Erfreuliches zu Tage gefördert. Inaktive, verwaiste Konten, die nicht gesperrt sind und so ehemaligen Mitarbeitern oder böswilligen Akteuren den Zugriff erlauben, sind keine Seltenheit. Zugriffsberechtigungen von Mitarbeitern, die innerhalb des Unternehmens die Position gewechselt oder das Unternehmen bereits verlassen haben, sind oftmals nicht auf dem aktuellen Stand und stellen ein weiteres potentielles Risiko dar.

One Identity unterstützt Unternehmen dabei, mit diesen Herausforderungen fertig zu werden und bietet eine komplette Lösungssuite für das Zugriffs- und Berechtigungsmanagement, die Identity Governance, die Verwaltung von privilegierten Konten und Identity-as-a-Service-Lösungen an.

Ziel ist es, das Identitäts- und Access-Management grundlegend richtig anzusetzen ohne die unternehmerische Flexibilität einzuschränken. Zum Thema "Get IAM right" hat One Identity zusätzlich eine Serie von Webinaren (http://bit.ly/2eSI5wi) vorbereitet.

Über die "One Identity Global State of IAM Study"
Die One Identity Global State of IAM Study basiert auf einer Online-Umfrage, die Dimensional Research unter IT-Experten durchgeführt hat, bei denen IT-Sicherheit den überwiegenden Teil ihrer professionellen Aufgaben betrifft und die zusätzlich über fundiertes IAM-Wissen verfügen. Eine breite Palette von Fragen beschäftigt sich mit den Erfahrungen und Herausforderungen in Zusammenhang mit dem Identity und Access Management. Befragt wurden dazu insgesamt 913 Personen aus den USA, Kanada, dem Vereinigten Königreich, Deutschland, Frankreich, Australien, Singapore und Hongkong.
(One Identity: ra)

eingetragen: 10.01.18
Home & Newsletterlauf: 07.02.18

One Identity: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Studien

  • Multi-Cloud: Hindernis für die Datensicherheit

    Laut dem "Thales Data Threat Report 2020 - Global Edition" mit Untersuchungen und Analysen von IDC haben Organisationen einen globalen "Cloud Tipping Point " erreicht, der sie mit den Sicherheitsherausforderungen der digitalen Transformation (DX) konfrontiert. Heute ist die Hälfte (50 Prozent) aller Unternehmensdaten in der Cloud gespeichert und fast die Hälfte (48 Prozent) dieser Daten gilt als sensibel. Da die Multi-Cloud-Nutzung für Unternehmen zur neuen Normalität geworden ist, gaben alle Befragten an, dass zumindest einige der in der Cloud gespeicherten sensiblen Daten nicht verschlüsselt sind, und weltweit gaben 49 Prozent an, dass bei ihnen eine Sicherheitsverletzung vorgefallen ist. Zusätzlich zu den DX- und Multi-Cloud-Komplexitäten zeigt die globale Studie, dass das Quanten Computing ein Hauptanliegen geworden ist. 72 Prozent der Unternehmen geben an, dass dadurch ihre Sicherheits- und kryptographischen Operationen in den nächsten fünf Jahren beeinträchtigt werden.

  • Statusreport 2020 zu Open Source-Lizenzierung

    Flexera hat den neuen "State of Open Source License Compliance " Report veröffentlicht. Die Experten für Software Composition Analysis analysierten Daten aus insgesamt 121 Audits weltweit, um den Umfang an undokumentierter Open Source Software in Unternehmen zu erfassen und potentielle Compliance- und Sicherheits-Risiken zu identifizieren. Für die branchenübergreifende Studie wertete Flexera mehr als 2,6 Milliarden Codezeilen aus. Die Audit-Teams prüften die identifizierten OSS-Komponenten sowohl auf bekannte Schwachstellen als auch auf die Einhaltung der Compliance-Vorgaben. Dabei entdeckten sie insgesamt 80.157 kritische Fälle - eine Steigerung von 80 Prozent im Vergleich zum Vorjahr.

  • Verarbeitung persönlicher Daten

    Laut dem Research- und Beratungsunternehmen Gartner werden Datenschutz-Compliance-Technologien bis 2023 verstärkt auf Künstliche Intelligenz (KI) setzen - nämlich über 40 percent. "Datenschutzgesetze wie die Datenschutz-Grundverordnung (DSGVO) waren ein überzeugender Geschäftsfall im Hinblick auf die Einhaltung der Datenschutzbestimmungen. Sie inspirierte viele Gerichtsbarkeiten weltweit dazu, ihrem Vorbild zu folgen", so Bart Willemsen, Research Vice President bei Gartner. "Mehr als 60 Jurisdiktionen weltweit haben postmoderne Gesetze zum Schutz der Privatsphäre und zum Datenschutz vorgeschlagen oder sind dabei, diese zu erarbeiten. Kanada versucht zum Beispiel sein Gesetz zum Schutz persönlicher Daten und elektronischer Dokumente (PIPEDA) zu modernisieren - auch um die Adäquatheit mit der EU nach der DSVGO zum Teil aufrechtzuerhalten.

  • Verantwortung für Cybersicherheit & Compliance

    Steigende Compliance-Anforderungen und die wachsende Zahl an Regulierungen stellen den größten Stressfaktor für Security-Experten dar, wie eine aktuelle Befragung von Thycotic nun offenbart. So stimmen 42 Prozent der befragten IT-Sicherheitsverantwortlichen zu, dass die Notwendigkeit, immer mehr Richtlinien erfüllen zu müssen, ihren Stress erhöht. Ein Drittel beklagt darüber hinaus lange Arbeitszeiten und die Unvermeidlichkeit von Überstunden. Weitere Stressfaktoren sind zudem die steigende Zahl an Sicherheitsvorfällen sowie zu kleine Security-Budgets. Dies stellt die Unternehmen vor große Herausforderungen in Sachen Mitarbeiterbindung: Wie die Befragung von mehr als 500 Sicherheitsentscheidern weltweit zeigt, zählen zu den größten Hürden beim Halten von Mitarbeitern unter anderem Burnout aufgrund übermäßiger Arbeitsbelastung (45 Prozent). Aber auch Faktoren wie das Fehlen klarer Karriereziele und mangelnde Aufstiegsmöglichkeiten (37 Prozent) und mangelnde Unterstützung durch Führungskräfte bei der Schulung, Beurteilung und Entwicklung von Mitarbeitern (40 Prozent) verstärken den Fachkräftemangel.

  • Plattform-Strategie der Unternehmen

    Die deutsche Industrie tut sich schwer mit der digitalen Plattform-Ökonomie. So geben 41 Prozent der Industrieunternehmen an, dass sie digitale Plattformen eher als Risiko für das eigene Geschäft ansehen, nur 37 Prozent halten sie für eine Chance. Damit ist die Industrie deutlich skeptischer als der Dienstleistungssektor oder der Handel. Unter den Dienstleistern geben nur 27 Prozent an, digitale Plattformen stellten ein Risiko dar, 43 Prozent sehen sie als Chance. Im Handel betrachten sogar 60 Prozent Plattformen positiv, nur 22 Prozent halten sie für ein Risiko. Das ist das Ergebnis einer repräsentativen Befragung von 502 Unternehmen im Auftrag des Digitalverbands Bitkom. "Bei digitalen Plattformen denken wir häufig zuerst an Onlinehändler wie Amazon oder Ebay oder an Dienstleister wie AirBnB. Gerade für die traditionell starke deutsche Industrie bieten digitale Plattformen aber ein riesiges Potenzial, das eigene Geschäft zukunftsfest für die digitale Welt zu machen", sagt Bitkom-Präsident Achim Berg. "Mit Blick auf Industrie 4.0 und IoT entwickeln sich gerade jetzt Plattform-Angebote und es werden die Märkte verteilt. Bei Plattformen sollte die deutsche Industrie ganz vorne mit dabei sein."