28. September 2017 Wolfgang Franz/pi

Benutzerkonten: Unzureichende IT-Prozesse führen zu hohen Sicherheits- und Compliance-Risiken

One Identity-Studie zeigt: Es sind nicht nur unzufriedene ehemalige Mitarbeiter, die weitreichende Möglichkeiten haben, Schaden anzurichten, wenn Benutzerkonten unnötigerweise aktiv bleiben. [...]

One Identity, Anbieter für Identity- und Access Management (IAM) Lösungen, präsentiert die Ergebnisse seiner jüngst durchgeführten Studie. Die Resultate offenbaren erschreckende Lücken in dem, wie Unternehmen ihre Benutzerkonten verwalten und wie die Mitarbeiter auf die IT-Infrastruktur, die Systeme und Daten zugreifen. Es handelt sich um Lücken, die zu schwerwiegenden Sicherheits- und Compliance-Defiziten führen können.

Die von Dimensional Research unter mehr als 900 IT-Sicherheitsexperten durchgeführte Studie beleuchtet die aktuelle Situation und zeigt, dass die Umsetzung bewährter Sicherheitsverfahren den Unternehmen weltweit immer noch Schwierigkeiten bereitet. Zu diesen Best Practices gehören die zeitnahe Entfernung von unnötigen Zugriffsrechten auf Unternehmensdaten und Anwendungen, das Identifizieren von nicht genutzten Konten und die Rollenverwaltung.

Eine besonders besorgniserregende Tatsache: 70 Prozent der Befragten bezweifeln, dass alle ehemaligen Mitarbeiter und Mitarbeiter deren Aufgabenbereich sich geändert hat, korrekt deprovisioniert wurden Oder die betreffenden Konten zeitnah entsprechend geändert oder entfernt worden sind. Das hat zur Folge, dass die Konten offen und weiterhin verfügbar bleiben, inklusive der aktiven Zugriffsberechtigungen. Und das selbst dann, wenn die Mitarbeiter längst eine andere Position besetzen oder das Unternehmen verlassen haben.
Lediglich 14 Prozent der Befragten gaben an, Zugriffberechtigungen sofort zu entziehen, wenn sich der Personalstatus des Mitarbeiters geändert hat.
 
Weitere damit in Zusammenhang stehende Resultate offenbaren ähnliche Praktiken beim Verwalten nicht genutzter Konten. Nur 9 Prozent der Befragten sind zuversichtlich, keine inaktiven Konten zu haben, lediglich 36 Prozent sind „sehr zuversichtlich“, zu wissen welche inaktiven Konten weiterhin bestehen und beachtliche 84 Prozent räumten ein, dass es Monate, wenn nicht länger dauert, diese gefährlich weit offen stehenden Türen ins Unternehmen zu finden.

Bewährte Sicherheitsverfahren sehen vor, dass Konten, die nicht länger aktiv sind, die Zugriffsberechtigungen entzogen werden. Übernimmt ein Mitarbeiter eine neue Position innerhalb des Unternehmens, müssen die Zugriffsberechtigungen entsprechend an die neuen Anforderungen angepasst und solche Berechtigungen entzogen werden, die nicht länger benötigt werden. In der Praxis ist es aber oftmals so, dass Zugriffsberechtigungen, die ein Mitarbeiter nicht länger braucht, schlicht übersehen werden. Benutzerkonten, die nicht korrekt deprovisioniert werden, sind eine Einladung an unzufriedene Mitarbeiter, Hacker oder andere potenzielle Angreifer. Sie sind dann in der Lage solche Konten zu missbrauchen sowie auf sensible Daten und Informationen zuzugreifen, was zu Datenschutzverletzungen und Verstößen gegen Compliance-Richtlinien führt.

Dabei beschränken sich die Herausforderungen bei der Vergabe und Verwaltung von Benutzerrechten nicht auf traditionelle Systeme. Sie sind ebenso relevant für neuere File-Sharing-Technologien wie Box oder Dropbox. Nur 14 Prozent der Befragten gaben an, Zugriffsberechtigungen für solche Konten zentral und automatisiert zu entziehen.

Weitere Ergebnisse der „One Identity Global State of IAM Study“ belegen mit welchen zusätzlichen Herausforderungen Unternehmen bei den Zugriffsberechtigungen ihrer Mitarbeiter auf IT-Ressourcen sonst noch zu kämpfen haben:

  • Nur einer von vier Befragten war „sehr zuversichtlich“, dass Benutzerrechte und Zugriffsberechtigungen in seinem Unternehmen korrekt vergeben werden und der individuellen Position des jeweiligen Mitarbeiters entsprechen.
  • 71 Prozent der Befragten sind besorgt was die mit inaktiven Konten verbundenen Risiken anbelangt.
  • 97 Prozent der Befragten verfügen über einen Prozess zur Identifizierung von inaktiven Konten. Aber nur 19 Prozent verfügen über Werkzeuge, die dabei helfen diese Konten auch zu finden.
  • Nur 11 Prozent der Befragten überprüfen die Rollen im Unternehmen öfter als monatlich.

 
John Milburn, President und General Manager von One Identity: „Es ist heute wichtiger denn je, dass, verlässt ein Mitarbeiter das Unternehmen oder übernimmt er oder sie eine neue Position innerhalb der Firma, sämtliche Zugriffsberechtigungen für das Unternehmensnetzwerk, auf Systeme und Daten, zurückgerufen oder so geändert werden, dass sie den aktuellen Status wiederspiegeln. Die überwiegende Mehrheit der Befragten bezweifelt, dass ihre Firma das zeitnah tut. Was wiederum belegt, Unternehmen tun sich nach wie vor schwer mit immer denselben kritischen Themen. Solche Sicherheitslöcher sind eine Einladung an ehemalige Mitarbeiter oder Hacker solche Identitäten mit möglicherweise katastrophalen Folgen auszunutzen. Firmen, die diesen Zustand letztendlich nicht unter Kontrolle bringen, sind zukünftig mit einer sehr viel höheren Wahrscheinlichkeit von einem schwerwiegenden Datenschutzvorfall betroffen. Mit Folgen für den Ruf des Unternehmens, die Marke und den Börsenwert.“


Mehr Artikel

News

E-Government Benchmark Report 2024: Nutzerzentrierung bleibt der Schlüssel für Behördendienste in der EU

5. Juli 2024

Grenzüberschreitende Nutzer stoßen immer noch auf zahlreiche Hindernisse, wenn sie E-Government-Dienste in Anspruch nehmen möchten. Behörden sollten daher an der Verbesserung der technologischen Infrastruktur arbeiten. Interoperabilität ist der Schlüssel zur Verbesserung dieser Dienste. Architektonische Bausteine wie die eID und eSignatur können leicht in die Behördenwebseiten integriert werden, sodass die Dienste in ganz Europa einheitlicher und unabhängig von Land und Dienstanbieter sind. […]

News

6 Voraussetzungen für den Einsatz von KI in der Produktion

5. Juli 2024

Dank künstlicher Intelligenz können Industrieunternehmen effizienter und kostengünstiger produzieren, die Produktionsqualität erhöhen und Produktionsstörungen vermeiden. Um das volle Potenzial von KI auszuschöpfen, benötigen sie dafür geeignete IT-Infrastrukturen. Dell Technologies erklärt, was diese bieten müssen. […]

News

Hyperconverged Infrastructure: Wettbewerber positionieren Alternativen zu VMware

5. Juli 2024 Tobias Pföhler *

Kunden mit VMware-basierten HCI-Systemen im produktiven Einsatz haben im Grunde drei Möglichkeiten: Sie können in den sauren Apfel beißen, bei VMware bleiben und weiterhin die neuen höheren Preise zahlen, sie können zu einer anderen Appliance eines HCI-Anbieters mit einem integrierten Stack wechseln oder sie können zu einer alternativen Software-definierten Lösung wechseln. […]

News

Infineon IT-Services: Zwanzig Jahre Innovation und Exzellenz in Klagenfurt

4. Juli 2024

Was 2004 mit 80 Mitarbeiter:innen in Klagenfurt angefangen hat, ist heute auf rund 460 Beschäftigte aus 31 verschiedenen Nationen gewachsen: Die Infineon Technologies IT-Services GmbH mit Hauptsitz in Klagenfurt. Sie verantwortet und betreibt weltweit alle wesentlichen IT-Funktionen im Infineon-Konzern. Heuer begeht der Klagenfurter Standort, an dem rund 300 der 460 Beschäftigten sitzen, sein 20-Jahre-Jubiläum. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*