- Anzeigen -


Sie sind hier: Home » Fachbeiträge » Grundlagen

IT-Compliance ist unverzichtbar


Ob KMU oder Konzern: Hilfe gegen Datenklau von innen tut Not
Access-Governance-Lösungen verwalten und kontrollieren Vergabe von Zugriffsrechten und schließen Sicherheitslücken

Von Sabrina Ghebrehiwet, Business Development bei der G+H Netzwerk-Design (*)

(05.05.15) - Ob KMU oder Großkonzern: Heute besitzt jedes Unternehmen sensible Daten, die nicht in falsche Hände geraten sollten. Doch Datenklau geschieht nicht nur durch Angriffe von außen – auch intern gibt es eine Schwachstelle: den Umgang mit den Zugriffsrechten. Access Governance geht also alle an, denn gerade hier entstehen Sicherheitslücken. Oft genug wird im Arbeitsalltag "vergessen", eine gegebene Zugriffsberechtigung zurückzunehmen. Das ist zum Beispiel dann der Fall, wenn ein Kollege das Unternehmen verlässt oder ein Externer sein Projekt abgeschlossen hat. Diese vermeintliche "Kleinigkeit" kann im schlimmsten Fall fatale Folgen für das Unternehmen nach sich ziehen.

Für die Finanzbranche oder Unternehmen, die in ähnlich sensiblen Bereichen agieren, gelten beim Thema Access Governance strenge Vorschriften, welche u. a. die BaFin vorgibt und kontrolliert. Hier soll jeder nur die Zugriffsberechtigungen besitzen, die aufgrund der Funktion im Unternehmen auch benötigt werden. In den MaRisk der BaFin heißt es z.B. "Prozesse sowie die damit verbundenen Aufgaben, Kompetenzen, Verantwortlichkeiten, Kontrollen sowie Kommunikationswege sind klar zu definieren und aufeinander abzustimmen." Die Vernachlässigung von MaRisk-Anforderungen kann aufsichtsrechtliche Konsequenzen nach sich ziehen.

So sollen z.B. auch Funktionstrennungen vermieden werden. Beispielsweise hat ein Mitarbeiter Zugriffsrechte im Debitorenbereich, so darf er nicht auch eine Berechtigung für den Kreditorenbereich besitzen, da einem möglichen Betrug sonst Tür und Tor geöffnet wäre. Doch sensible Daten gibt es nicht nur in Banken – jedes Unternehmen besitzt sie. Ob komplette Kundensätze mit Bankverbindungen, technische Neuentwicklungen oder Zukunftspläne, eine neue Marktidee oder Verhandlungen mit einem Unternehmen, mit dem man sich zusammentun will. Darüber hinaus wachsen die IT-Umgebungen kontinuierlich und werden immer komplexer. IT-Compliance ist unverzichtbar.

Im Unternehmensalltag werden Zugriffsberechtigungen schnell vergeben, oft genug sammeln z. B. Azubis, die unterschiedliche Abteilungen durchlaufen, eine stattliche Zahl solcher Rechte an. Auch die Kollegen in Elternzeit und solche, die sich selbstständig gemacht haben, können oft noch lange auf Daten zugreifen. Immer öfter arbeiten zudem Externe in zeitlich begrenzten Projekten mit oder Kollegen wechseln Abteilungen und so Funktionen und damit auch ihre IT-Rollen. Der Überblick und die Kontrolle gehen so schnell verloren.

In vielen Firmen ist nach wie vor die IT-Abteilung für Access Governance zuständig und müsste kontinuierlich all die Regeln und Rollen überprüfen. Das ist zeitaufwendig und neben dem Tagesgeschäft kaum zu bewältigen. Ein weiterer wichtiger Grund, um die Rezertifizierung von der IT wegzulenken: Die fachliche Kompetenz zur Beurteilung von Rechtevergaben und Rollenzuweisungen in den einzelnen Abteilungen liegt nicht bei den IT-Kollegen, sondern beim jeweiligen Team- oder Abteilungsleiter. Er weiß, warum Kollege XY bestimmte Zugriffsrechte besitzt und Kollege YZ nicht, kann also kontinuierlich und fachlich begründet überprüfen, ob die hinterlegten Rollen (noch) korrekt sind.

Doch welche Hilfen für professionelles Access Governance gibt es auf dem Markt? Lösungen werden u. a. in Komplettpaketen mit integriertem Identity-Management-System angeboten. Für Unternehmen, die neben der Access Governance Lösung auch ein Identity Management zur vereinfachten Verwaltung von Identitäten benötigen, ist eine solche Lösung sehr sinnvoll. Für Unternehmen, die bereits ein Identity-Management-System nutzen, können modulare Lösungen, die sich jeder Infrastruktur anpassen, interessant sein.

Was kann eine Access-Governance-Lösung, die gezielt IT-Zugriffsrechte überprüft?
Access-Governance-Lösungen sind individuell an die Bedürfnisse des jeweiligen Unternehmens anpassbar. Für dezentral organisierte Konzerne mit vielen Tochtergesellschaften und verschiedenen IT-Strukturen bringen AG-Lösungen Ordnung und Überblick in die Kontrolle der Berechtigungen oder achten z. B. auf die Vergabe bzw. Rücknahme der Berechtigungen externer Mitarbeiter. Das System benachrichtigt hier z. B. zum vorab festgelegten Austrittsdatum den Verantwortlichen Team- oder Abteilungsleiter darüber und stößt einen Workflow an. Der Zuständige überprüft nun, ob der Externe wie geplant den Zugriff nicht mehr benötigt oder das Projekt sich vielleicht doch zeitlich verlängert hat.

Viele Unternehmen benötigen – ob für die externe Revision oder die interne – eine lückenlose Historie der Zugriffsrechte und deren Genehmigungsprozess. Schon in KMU verliert man schnell den Überblick, wer welche Berechtigungen besitzt oder von wem diese vergeben wurden. Die Softwares liefern hier z. B. auf Knopfdruck eine lückenlose Historie, wer wann welche Rechte erhalten hat, warum und von wem. Das ist wichtig für Prüfungen von außen oder zur Erfüllung von Auflagen; übrigens verlangen immer mehr gesetzliche Regelungen (Sarbanes-Oxley Act, Bundesdatenschutzgesetz oder ISO 2700x) solche Rezertifizierungen mit lückenloser Historie.

Weiter kontrollieren AG-Systeme kontinuierlich alle vorgegebenen Rollen, melden Veränderungen, Rechteverletzungen oder informieren den dafür zuständigen Mitarbeiter, dass die Berechtigung eines ausgeschiedenen Kollegen zu einem vorgegebenen Datum zurückgenommen werden muss. Simpel gesagt: Die Software passt auf, dass alle Zugriffsrechte so vergeben wurden, wie es auch sein soll und keine Überberechtigungen entstehen.

Darüber hinaus wird der Arbeitsalltag durch AG-Lösungen nicht nur sicherer, sondern auch komfortabler. Die Systeme liefern z. B. dynamisch generierte aktuelle Reports zu verschiedensten Fragestellungen, z. B., liefern sie auf einen Blick, wer von außen über eine VPN-Verbindung auf Unternehmenssysteme zugreifen kann oder listen auf Knopfdruck einen Bericht über aktuell vergebene Zugriffsberechtigungen auf. Alle internen Compliance-Regelungen des Unternehmens können hinterlegt werden und das System weißt auf Rechteverletzungen hin, sollte eine solche vorliegen.

Den Return on Investment erzielt das Unternehmen dabei übrigens oft in kürzester Zeit, denn diese Lösungen helfen sparen: ob bei den Kosten für Lizenzen, die nun nicht mehr außer Plan weiterlaufen, obwohl der ehemalige Nutzer sich schon seit drei Jahren im Ruhestand befindet, oder bei der deutlichen Einsparung von Arbeitszeit im IT-Bereich.

(*) Die Autorin
Sabrina Ghebrehiwet ist seit März 2012 im Bereich Business Development für das Produkt daccord bei der G+H Netzwerk-Design tätig. Sie ist verantwortlich den Geschäftsbereich daccord zu entwickeln, Partnerschaften auszubauen und Marketingkampagnen zu entwerfen und durchzuführen. Bevor Sabrina Ghebrehiwet zur G+H Netzwerk-Design kam, arbeitete sie in verschiedenen Positionen im Bereich Marketing, Vertrieb und Partnermanagement, darunter drei Jahre in New York bei der Deutsch-Amerikanischen Handelskammer und zwei Jahre bei Novell in Deutschland. Sabrina Ghebrehiwet besitzt ein Diplom in Betriebswirtschaftslehre mit den Schwerpunkten Marketing und IT.
(G+H Netzwerk-Design Gesellschaft für IT Consulting: ra)

Lesen Sie auch den Schwerpunkt:
"IT-Sicherheit im Kontext von Compliance"

G+H Netzwerk-Design: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Grundlagen

  • Der primäre Anwendungsfall unserer Zeit

    Es scheint ein Widerspruch zu sein: Obwohl die meisten Unternehmen viele ihrer Anwendungen in die Cloud migrieren, erfreut sich das klassische Rechenzentrum nach wie vor großer Beliebtheit. Seit nun mehr als einem Jahrzehnt virtualisieren Unternehmen ihre Rechenzentren und führen Cloud-Technologien ein. Und sagten einige Experten vor gut zehn Jahren voraus, dass das Rechenzentrum der Zukunft vollständig in der Cloud betrieben würde, sehen wir heute, dass dies nicht eingetreten ist. Stattdessen führten Unternehmen Hybrid- und Multi-Cloud-Umgebungen ein, die ihnen die Wahl geben, ihren Anwendungen und Daten das ideale Zuhause zu geben.

  • Modulare Malware: Bösartige Multitalente

    Modulare Malware bietet Cyberkriminellen eine Architektur, die robuster, flexibler und gefährlicher ist als klassische dokumentenbasierte oder webbasierte Malware. Denn die Schadware beinhaltet verschiedene Nutzlasten und Funktionen und kann diese selektiv starten, je nach Ziel und Funktion des Angriffs. Mit dem Aufkommen von Botnetzen, die Befehle von Cyberkriminellen ausführen, und Malware, die für eine umfangreiche Verbreitung geschrieben wurde, ist Modularität zur neuen Norm geworden. Malware-Autoren organisieren sich zunehmend professionell und übernehmen und implementieren Praktiken der Softwareindustrie, einschließlich Qualitätssicherung und Tests, um den Erfolg von Angriffen zu optimieren. Als Reaktion auf die Anforderung, mehrere Fähigkeiten mit einer Malware-Datei zu erfüllen, hat sich modulare Malware zu einer funktionsreichen und flexiblen Angriffslösung für Cyberkriminelle entwickelt.

  • KI-Anwendungen missbraucht

    Malwarebytes veröffentlichte ihren Hintergrundbericht zum Einsatz Künstlicher Intelligenz (KI) innerhalb der Malware-Branche. In diesem Bericht wirft Malwarebytes dabei einen Blick zurück auf die Anfänge von KI, gibt einen Einblick in die Vorteile von KI und Machine Learning innerhalb der Cybersicherheitsbranche, definiert Einsatzgebiete mit Beispielen von KI bei Malware-Angriffen und gibt einen Ausblick, wozu bösartige Angriffe auf KI-Basis in Zukunft im Stande sind. Der komplette (englischsprachige) Hintergrundbericht ist unter diesem Link verfügbar. Als Gesellschaft nutzen wir künstliche Intelligenz bereits in einer Vielzahl von Branchen: Spracherkennung, Wortvervollständigung, Biometrie, maschinelle Lernplattformen. KI ist über den Hype hinaus und wir werden bald feststellen, dass sie mittlerweile weit verbreitet ist. Malwarebytes geht davon aus, dass es einen entscheidenden Zeitraum in der Entwicklung der künstlichen Intelligenz gibt, in dem diejenigen, die diese relativ neue Technologie in die Welt bringen, die Wahl haben, sie verantwortungsbewusst zu nutzen oder ihre Entwicklung einfach um jeden Preis zu beschleunigen. Es ist jetzt an der Zeit, darüber nachdenken, bevor es Cyberkriminelle tun werden.

  • ML: Die geknüpften Erwartungen sind hoch

    Die an Maschinelles Lernen (ML) geknüpften Erwartungen sind hoch, und das mit gutem Grund. Algorithmen, die auf maschinellem Lernen basieren, erlauben es uns beispielsweise enorme Mengen von Sicherheitsvorkommnissen auf Anomalien hin zu sichten. Also Abweichungen von einem als normal definierten Verhalten zu erkennen, die häufig Anzeichen für böswillige Aktivitäten sind. Die Ergebnisse dieses Sichtungsprozesses werden an einen Analysten übermittelt, der sie durchsieht und gründlich überprüft. Anschließend wird das System mit den Ergebnissen gefüttert um es weiter zu trainieren. Mit mehr und mehr in das System eingespeisten Daten entwickelt es sich sukzessive weiter: Es lernt ähnliche Sicherheitsvorkommnisse zu erkennen und letztendlich deren zugrunde liegende Charakteristika eines böswilligen Verhaltens.

  • Angriffsforensik: Post Mortem von Cyberattacken

    Wenn Cyberangriffe die Sicherheit von Endgeräten umgehen, kann es oft Monate dauern, bis Unternehmen die Schwachstelle entdecken. Unternehmen suchen deshalb nach Möglichkeiten, ihre Endgerätesicherheit zu modernisieren und ihre Fähigkeit zu verbessern, Bedrohungen schneller zu erkennen und in komplexen Infrastrukturen effektiver darauf zu reagieren. Um genutzte Sicherheitslücken und blinde Flecken im System zu erkennen, müssen sich Securityteams der Angriffsforensik bedienen, um genau herauszufinden, wie es zu Sicherheitsvorfällen kommen konnte. Sie ist ein Element zur Verbesserung der Endpoint Detection and Response (EDR). Weiß man dank der Angriffsforensik genau, wo die Sicherheitslücken sind und wie sie von Kriminellen ausgenutzt wurden, können Unternehmen Business Continuity besser gewährleisten, Malware schneller erkennen und Sicherheitslücken zukünftig schließen.