Bedrohungen von Innen

Mathias Hein, Consultant, Buchautor, Redakteur
Mathias Hein, Consultant, Buchautor, Redakteur

Angesichts der jüngsten, hochkarätigen Datenverletzungen fragen sich viele Unternehmen: Wie anfällig sind wir für Angriffe von Außen? Dies ist jedoch häufig die falsche Fragestellung. Einige Untersuchungen zeigen, dass die Mehrheit der Sicherheitsverletzungen durch interne Mitarbeiter oder externe Partner verursacht wird. Daher ist es wichtig, alle Teile eines Unternehmens zu betrachten, um sicherzustellen, dass das eigene Unternehmen ausreichend geschützt ist.

Um erfolgreich das Unternehmen oder den Betrieb zu sichern, muss die IT intensiv mit allen Abteilungen im Unternehmen zusammenarbeiten und entsprechende Sicherheitsmechanismen und -Regeln entwickeln und konsequent umsetzen. Besonders der letzte Punkt ist wichtig, weil ein Mangel an Konsistenz die unterschiedlichen Schichten der Sicherheit unterläuft. Jede Person innerhalb und außerhalb der IT muss verstehen, dass diese einen bedeutenden Beitrag zum Schutz der Unternehmensdaten leistet.

Was macht die Unternehmen für Angriffe anfällig?

In Wahrheit ist das, was unsere Unternehmen für Angriffe auf unsere Sicherheit anfällig macht, zum großen Teil in unseren Mitarbeitern zu suchen. Ein häufig in den Unternehmen anzutreffendes Problem besteht in dem uneinheitlichen Zugriff auf die Datenbestände. Die Administratoren ermöglichen den Nutzern den Zugang zu den Daten und Anwendungen, damit diese ihre Aufgaben erledigen können. Ein Sicherheitsproblem entsteht jedoch dann, wenn sich die Aufgaben der Nutzer ändern oder die Geschäftsprozesse angepasst werden. Die IT erfährt von diesen Änderungen oftmals nichts oder kann die notwendigen Änderungsprozesse aus Arbeitsüberlastung nicht ausführen. Die ursprünglich sehr konsequent festgelegten Zugangsregeln werden dadurch aufgeweicht und mit der Zeit erhalten mehr Menschen einen unkontrollierten Zugang zu den Daten.

Das Datenmanagement stellt ein weiteres Problem dar. Die Experten stellen immer wieder fest, dass viele Daten unwichtig sind und dass nicht alle Daten als zu sichernde Informationen klassifiziert werden sollten. Der Mensch in Form eines klassischen Benutzers hat immer die Tendenz alle Daten (jede E-Mail, jede Datei, jeden Anhang, etc.) so lange wie möglich aufzuheben bzw. zu retten. Die Benutzer vergessen jedoch, dass auch die Daten nur über eine gewisse Haltbarkeit verfügen. Das Problem besteht darin, dass die Haltbarkeit der Daten ohne eine enge Zusammenarbeit und Kooperation zwischen IT und den Geschäftsprozessen nur schwer zu ermitteln ist.

Was können wir verbessern?

Zwar gibt es sicher keine universelle und sicherlich keine schnelle Lösung, um die Daten eines Unternehmens zu organisieren und abzusichern. Es sollten jedoch die folgenden Schritte zur Verbesserung der Datensicherheit eingeleitet werden:

  • Nicht genutzte Konten entfernen: Das Beseitigen von ungenutzten Konten in den Systemen sollte eine Selbstverständlichkeit sein. Bei einem Audit stieß ich bei einem Kunden auf folgendes Problem: Etwa 500 Benutzer sollten einen Zugriff auf Microsoft-Office-365 haben, aber aufgrund mangelnder Datenhygiene (alte weiterhin bestehende Konten) bezahlte das Unternehmen tatsächlich fast 700 Konten. Rund 250 dieser Konten waren für Mitarbeiter oder externe Dienstleister reserviert, die nicht mehr im Unternehmen beschäftigt waren oder nicht mehr für das Unternehmen arbeiteten. Nicht nur erzeugt ein solcher Missstand unnötige Kosten, sondern die unbenutzten (aber immer noch aktiven) Konten stellen auch ein erhebliches Sicherheitsrisiko dar. Will man bei diesem Szenario die Schuld der IT zuweisen, dann ist diese sicherlich in der übermäßige Abhängigkeit der IT von der Technologie zu suchen. Zu oft setzt die IT nur auf technologische Lösungen und vernachlässigt dabei den gesunden Menschenverstand. Es wird sich zu sehr auf die Berichte des Asset- und Datenmanagements verlassen. Die Aussagekraft dieser Berichte sollte regelmäßig angezweifelt und überprüft werden. Der Wahrheitsgehalt von Berichten wird dadurch nicht besser, dass die erzeugten Daten von einer Maschine des Marktführers geliefert werden. Man muss sicherstellen, dass die Dinge zusammenpassen. Das ist besonders in größeren Unternehmen wichtig, da hier die Übersicht schnell aufgrund der Masse an Informationen verloren geht. Nut wer die richtigen Daten zur Hand hat, kann die Risiken angemessen bewerten und diese eventuell reduzieren.
  • Unangemessene Zugriffsrechte: Die On-Boarding und Off-Boarding-Prozesse in den Unternehmen haben sich in den vergangenen Jahren erheblich verbessert, trotzdem gibt es immer noch viele Unstimmigkeiten bzw. Leichen in den Zugangsberechtigungsdateien. Besonders bei den Karrieristen, die schnell von einer Abteilung in eine andere Abteilung innerhalb eines Unternehmens wechseln, ist eine besondere Vorsicht geboten, denn diese Zugangsberechtigungen müssen besonders auf Konsistenz und Gültigkeit überprüft werden. Daher muss kontinuierlich überprüft werden, welche Daten und Anwendungen für die jeweilige Rolle eines Benutzers freigegeben bzw. geeignet ist. Dieser Prozess kann dadurch beschleunigt werden, indem der Administrator nach Inkonsistenzen in den Gruppenrichtlinien sucht und grundsätzlich alle Zugriffsrechte in Frage stellt. Mit den falschen Zugriffsrechten erhalten die Nutzer eventuell Zugriffe auf Dateien und Daten, die diese nicht erhalten sollten. Aus diesem Grund ist ein klares und eindeutiges Zugangsmanagement so wichtig. Versäumnisse in diesem Bereich führen zu einer Minderung der Datenintegrität.

Aus meiner Erfahrung heraus gibt es jedoch eine andere Ursache der Verwundbarkeit, die zu oft übersehen wird. In jedem Unternehmen ist die IT-Abteilung dazu da, die Services bereitzustellen, damit das Unternehmen (hoffentlich) läuft, wie eine gut geschmierte Maschine. Aber die Geschäftsabläufe stellen manchmal hohe Anforderungen an die IT und verlangen, dass die Services so schnell wie möglich bereitgestellt werden müssen. Als IT-Profi weiß ich, dass jede IT-Abteilung diese Anforderungen immer so gut wie möglich erfüllen will. Aber eine Anwendung bzw. einen Service „schnell“ in Betrieb zu nehmen, geht oftmals auf die Kosten der Sicherheit bzw. der in der Praxis bewährten Prozesse. Deshalb ist es für das Gesamtkonstrukt der Sicherheit von entscheidender Bedeutung, dass sich die Verantwortlichen der Geschäftsprozesse mit der IT gut abstimmen und realistische bzw. vernünftige Erwartungen an deren Leistungen stellen.

Ein Großteil der Daten- und Sicherheitsrisiken wäre in der Praxis vermeidbar. Während die Benutzer und die Unternehmensleitung ihren Beitrag zur Verringerung von Sicherheitsvorfällen leisten können, gibt es für die IT bereits einige einfache Dinge, die dazu beitragen, das eigene Unternehmen in Schuss zu halten. Hierzu nehme man einen Zettel und Bleistift zur Hand und beginne mit der Inventur der vorhandenen IT-Komponenten im Unternehmen und den jeweiligen Arbeitsgruppen. Mit dieser einfachen Form der Datenerfassung erhält man einen genauen Überblick über die im Unternehmen genutzten Technologien. Dieser Erfassungsprozess lässt sich problemlos auf andere IT-Aspekte ausweiten. Erfasst man beispielsweise die Switches, Router und Firewalls, dann ist die Dokumentation (und somit die Überprüfung) der Richtlinien nur ein logischer Schritt. Die Validierung der Ergebnisse gibt Hinweise auf die notwendigen Korrekturmaßnahmen, die dazu beitragen die Sicherheitsprobleme im Unternehmen zu beseitigen.

#Netzpalaver