}

Trendbericht: Interne Datenschutzverletzungen durch Berechtigungsmanagement vermeiden

Datenschutzverletzungen sind nichts Neues seit große Unternehmen wie Yahoo, Samsung und sogar das US-Justizministerium in den Schlagzeilen stehen. Viele denken deshalb, dass nur größere Firmen gefährdet sind oder zumindest am meisten zu verlieren haben. Doch das ist leider ein fataler Trugschluss!

Jede Organisation ist anfällig für Datenschutzverletzungen und mit immer strikteren Compliance-Gesetzen sind die Konsequenzen von Informationslecks weitaus umfangreicher. Nicht nur die Daten sind verloren, ungewollt öffentlich oder müssen für teures Lösegeld zurückgekauft werden. Insbesondere die neue EU-DSGVO (Datenschutzgrundverordnung, auch General Data Protection Regulation (GDPR) genannt), die im Mai 2018 in Kraft tritt, sieht zusätzlich empfindliche Geldstrafen bis zu 20 Millionen Euro vor, wenn der Datenschutz nicht ausreichend gewährleistet ist. Wer also Datensicherheit garantieren muss und möchte, der kommt nicht umhin seine Identity-Access-Management-Strategie an Compliance-Richtlinien anzupassen.

Unterschätztes Risiko: interne Datenschutzverletzungen

Und die neuen Compliance-Richtlinien der DSGVO sind nicht unverhältnismäßig oder ohne Grund strikt. Sie berühren nur einen bisher oft übersehenen Bereich des Datenschutzes: internes Berechtigungsmanagement. Bislang machen sich kleine und mittlere Unternehmen fast ausschließlich über Hackerangriffe von außen Sorgen. Die meisten KMU sind völlig überrumpelt, wenn die Datenschutzverletzung aus dem Unternehmen selbst kommt. Entweder haben derzeitige Mitarbeiter zu umfangreiche Zugriffsrechte oder, weitaus häufiger, haben ehemalige Mitarbeiter noch Zugang zu Programmen und Daten, den sie nach Austritt aus dem Unternehmen nicht haben sollten. Der Grund dafür ist so banal wie folgenschwer: wegen nicht-standardisierter Prozesse wird schlichtweg vergessen, die Information über die Kündigung an die IT weiterzuleiten, sodass auch nach dem Ende des Arbeitsverhältnisses der Benutzer-Account mit allen Filesystem-Zugriffsrechten, Windows-Berechtigungen oder NTFS-Rechten weiterbesteht.

Das ist nicht nur wegen überflüssiger Lizenzen für teure Programme unwirtschaftlich, sondern vor allem aus Datenschutzsicht ein Super-GAU. Denn hat ein ehemaliger Mitarbeiter Lese- oder sogar Schreibrechte auf sensible Daten wie Zahlungsinformationen von Kunden oder Gesundheitsdaten von Mitarbeitern, ist der Geldverlust und nicht zuletzt auch der Imageschaden, der durch einen Datenraub entstehen könnte, kaum abzuschätzen. Deshalb sollte jedes Unternehmen im Zuge der kommenden DSGVO insbesondere ein Augenmerk auf ihr Berechtigungsmanagement innerhalb der Identity-Access-Management-Strategie legen.

Arbeitsplatz PC sicher durch Schloss

Berechtigungsmanagement für Compliance und Audit

Datenschutzverletzungen treten auf, wenn es eine schwache Netzwerksicherheitsstruktur innerhalb einer Organisation gibt, insbesondere wenn es darum geht, Zugriffe und Berechtigungen zuzuweisen und wieder zu entziehen. Die zwei wesentlichen Merkmale einer guten Berechtigungsstruktur sind Transparenz und Kontrolle, also zu wissen und zu verwalten, wer Zugriff worauf hat. Dies hilft auch bzw. ist nötig, wenn es darum geht, Audits zu bestehen und compliance-konform zu arbeiten. So können mit relativ unaufwendigen und kostengünstigen Maßnahmen wie einem Berechtigungsmanagement-Tool, größere Geldstrafen verhindert und der Ruf Ihres Unternehmens geschützt werden.

Der Enterprise Resource Authorization Manager (ERAM) von Tools4ever ermöglicht es Unternehmen, die NTFS-Berechtigungen auszulesen. All diese Berechtigungen manuell über die Windowsfunktionen zu verwalten, ist unglaublich aufwendig, zeitraubend und frustrierend. ERAM erstellt einmalig eine vollständige Datenbank mit allen Filesystem-Zugriffsinformationen und aktualisiert diese regelmäßig im laufenden System. So können Sie systemweit alle NTFS-Berechtigungen in ein übersichtliches Reporting auslesen und die Zugriffskontrolle über unstrukturierte Daten zurückgewinnen, vereinfachen und optimieren. Mit einem Klick sehen Sie, wer Zugriff hat, wer Zugriff haben sollte, wer Daten besitzt und wo diese sensiblen Daten gespeichert werden. Durch On-Demand NTFS Permissions Reporting haben Sie immer auch eine Live-Übersicht der vergebenen und genutzten Zugriffsrechte auf Netzwerkkonten und Dateisysteme, um ungenutzte Berechtigungen unkompliziert zu entziehen.

Sicherheit durch Transparenz und Kontrolle

Durch die Reportings mit ERAM erhalten Sie die Transparenz und Kontrolle über Ihre Filesystem-Berechtigungen, die Sie für Audits und Compliance-Richtlinien benötigen. Die Umsetzung Ihrer Identity-Access-Management-Strategie wird viel einfacher, da Sie mit ERAM sicherstellen können, dass die Zugriffsrechte von Anfang an korrekt eingerichtet sind. Wenn Sie nun durch die Benennung eines Datenschutzbeauftragten – der übrigens in der DSGVO für viele Unternehmen vorgeschrieben wird – noch dafür sorgen, dass sich jemand regelmäßig um die Überprüfung der NTFS-Berechtigungen kümmert, ist interne Datenschutzverletzung für Sie kein großes Thema mehr. Mit einem Workflow ließen sich übrigens Berechtigungen bzw. ganze Accounts von ausgeschiedenen Mitarbeitern automatisch durch den zuständigen Vorgesetzten oder die HR-Abteilung sperren.

 

Werden Sie nicht Opfer von internen Datenschutzverletzungen! Wenn Sie die Kontrolle über Ihre strukturierten und unstrukturierten Daten übernehmen und für klare Prozesse und Verfahren sorgen, ist die Sicherheit Ihrer sensiblen Daten kein Problem mehr. Wir helfen Ihnen gerne dabei!

Do not fear the GDPR – Structure your Access Management

The new General Data Protection Regulation (GDPR) of the EU will come into effect on May 25th 2018. How can companies cope with this new situation? With the Enterprise Resource Authorization Manager (ERAM) programme, Tools4ever has developed a tool to support compliance with the new law by helping to structure the access management.

Lesen Sie mehr

Frühjahrsputz im Active Directory

Bei einer IAM-Implementierung ist es oft nötig, erst einmal das Active Directory aufzuräumen. Unsere Berechtigungsmanagement-Tools bieten verschiedene Möglichkeiten, Benutzerkonten mit den entsprechenden Zugriffsrechten im Netzwerk zu verwalten. Dabei kommt es nicht unbedingt auf die Gestaltung der AD-Struktur an, sondern vor allem darauf, die Berechtigungsstruktur möglichst aktuell zu halten. Lesen Sie hier, wie Sie am besten Ihr Active Directory aufräumen.

Lesen Sie mehr

Active Directory, Berechtigungsstruktur, Berechtigungsmanagement, Access Governance, User Provisioning, RBAC, Zugriffskontrolle, User Provisioning

ERAM Auditing-Software - Unser digitaler Schlüssel für ihr Berechtigungsmanagement

Ist es in Ihrem Unternehmen auch so, dass Daten auf Fileservern im gesamten Netzwerk gespeichert werden? Der Zugriff auf diese Daten ist oft unübersichtlich und strukturlos? Seit Jahren sind ihre Prozesse manuell oder unprotokolliert? Zugriffe für verschiedene Benutzer werden gewährt und widerrufen? Lesen Sie mehr, wie ERAM Ihr Unternehmen bei Zugriffsberechtigungen und Compliance-Anforderungen unterstützt und welche Vorteile Sie von solch einer Software haben.

Lesen Sie mehr