[datensicherheit.de, 27.04.2016] Die Digitale Transformation basiert auf Daten, aber eben nicht nur – auch auf Maschinen, Produkten, Fertigungsprozessen und eben Personen, Unternehmen und Netzwerken. Im Kontext der kürzlich endgültig verabschiedeten EU-Datenschutz-Grundverordnung (DS-GVO) werde der „Unbefugte“ nun zum „teuersten Problem der Wirtschaft“, warnt die Protected Networks GmbH aus Berlin.

Verarbeitung personenbezogener Daten als Fußangel

„Ein Mitarbeiter, der in Daten Einblick hat, obwohl er diese spezifischen Informationen für seine Tätigkeit nicht benötigt, kann mit dem DS-GVO zum teuren Krisenfall werden. Die Bußgelder betragen bis zu vier Prozent vom weltweit erwirtschafteten Jahresumsatz“, erläutert Matthias Schulte-Huxel, „CSO“ bei Protected Networks. Bei einem Konzern könnte ein ernsthafter Datenskandal also eine Strafzahlung in Milliarden-Höhe nach sich ziehen. Als ernsthafter Verstoß gelte dabei die Nichteinhaltung der Grundsätze in Bezug auf die Verarbeitung personenbezogener Daten (Artikel 5) sowie der Bestimmungen zur Einwilligung betroffener Personen (Artikel 7).

„Access Rights Management“ wichtiger als je zuvor

„Es ist wichtiger denn je, im Unternehmen genau zu prüfen und festzulegen, welche Person in welcher Funktion Zugriff auf welche Daten und Informationen hat“, erläutert Schulte-Huxel.
Unbefugte Zugriffe auf Daten seien damit dringlich zu verhindern, schaffbar sei das nur mit einer firmeninternen Lösung für das „Access Rights Management“. Schließlich gehe es nicht nur um den Schutz vor Zugriffen, sondern auch um den Nachweis, dass ein Zugriff nicht möglich gewesen sei.
Protected Networks habe eine Lösung bereits lange vor der DS-GVO so entwickelt, dass auf Knopfdruck ersichtlich sei, wer welche Berechtigungen im Unternehmen hat. Anpassungen der Zugriffsrechte seien dabei ebenso leicht möglich, jeder Eingriff werde dabei protokolliert und ist revisionssicher verwahrt, so Schulte-Huxel über „8MAN“. Über einfache Nutzerschnittstellen könnten auch Fachabteilungen die Rechtevergabe umsetzen – jederzeit durch ein Vieraugen-Prinzip abgesichert. Die wesentlichen Forderungen der DS-GVO seien damit erfüllt, um unbefugte Zugriffe auszuschließen.

Ambitionierte 72-Stunden-Meldefrist

In Artikel 31 der DS-GVO ist geregelt, dass eine Verletzung des Schutzes personenbezogener Daten innerhalb von 72 Stunden nach Bekanntwerden an die zuständige Aufsichtsbehörde zu melden ist – unter der Bedingung, dass die Verletzung zu einem Risiko für die persönlichen Rechte und Freiheiten der betroffenen Personen führen kann.
Allerdings müssten auch kleinere Verletzungen intern dokumentiert werden und jederzeit nachvollziehbar sein. Auch hierzu biete „8MAN“ aktive Hilfe, denn auch die Zugriffe würden protokolliert. „Selbst wenn der CIO sich selber alle nötigen Rechte verleiht, Daten kopiert und nachher die Berechtigungen wieder löscht: 8MAN weiß das“, betont Schulte-Huxel.

[datensicherheit.de, 03.02.2013] Laut einer Studie von Varonis wird das Thema Datensicherheit in virtuellen Umgebungen von IT-Organisationen häufig vernachlässigt:
48 Prozent der Befragten hätten angegeben, dass in ihrem Unternehmen bereits unbefugte Zugriffe auf virtuelle Server stattgefunden hätten bzw. dass sie dies vermuteten. Wie die bei den „VMworld Conferences“ durchgeführte Studie zeige, werde Sicherheitsbelangen in virtuellen Umgebungen eine zu geringe Bedeutung beigemessen. Tatsächlich hätten 70 Prozent der Studienteilnehmer auf virtuellen Servern nur wenige oder keine Auditing-Prozesse implementiert, so Varonis.
Angaben von Gartner zufolge seien bereits mehr als 50 Millionen virtuelle Computer (Virtual Machines, VM) auf Servern installiert. Dementsprechend verwendeten fast alle Befragten (87 Prozent) virtuelle Anwendungsserver – meist aufgrund der rascheren Bereitstellung (76 Prozent) und Notfallwiederherstellung (74 Prozent). Diejenigen, die keine virtuellen Server einsetzen, hätten als Hauptgründe dafür Speicherplatz (37 Prozent), Leistung (30 Prozent) und mangelnde Vorteile (20 Prozent) angegeben.
Das Thema Dateisicherheit scheine in Unternehmen aller Größen unter den Tisch zu fallen. Während 60 Prozent der Studienteilnehmer angegeben hätten, Berechtigungen mit großer Sorgfalt zu vergeben und anschließende Änderungen zu überprüfen, hätten 70 Prozent unabhängig von der Größe des jeweiligen Unternehmens wenige oder keine Mechanismen zum Auditieren von Änderungen implementiert. Dies sei also selbst in großen Organisationen der Fall gewesen. Tatsächlich räumten 20 Prozent der Unternehmen mit mehr als 5.000 Mitarbeitern ein, über keine Möglichkeit zur Dateiprotokollierung zu verfügen. Beunruhigend sei dies vor allem deshalb, weil die Vergabe von Berechtigungen alleine noch keine ausreichende Sicherheit biete. Nur über einen Audit-Mechanismen lasse sich auch feststellen, ob und von wem eine Berechtigung geändert wurde – und vertrauliche Daten somit dennoch eventuell gefährdet sind.
48 Prozent berichteten, dass auf ihren virtuellen Servern bereits unbefugte Dateizugriffe stattgefunden hätten bzw. sie dies vermuteten. Sensible Unternehmensinformationen würden also der Gefahr von Missbrauch, Verlust und Diebstahl ausgesetzt – ein weiteres Indiz für die mangelnde Sicherheit in virtuellen Umgebungen. Überraschenderweise glaubten ganze 68 Prozent derjenigen, die sämtliche Aktivitäten überwachen, dass dennoch Unbefugte auf ihre Daten zugreifen.
Offensichtlich nähmen IT-Abteilungen das Thema Virtualisierung auf die leichte Schulter. Nach der Virtualisierung von Komponenten schienen die IT-Mitarbeiter davon auszugehen, dass für die Details zur Verwaltung von Dateiberechtigungen und zur Zugriffsüberwachung automatisch gesorgt werde. Möglicherweise erachteten die Teams, die für das Management von Virtualisierungsprojekten zuständig sind, die Themen Dateisicherheit und Governance auch nicht als ihre Aufgabe – und das Sicherheitsteam habe vielleicht keinen Überblick über diese Vorgänge, sagt Arne Jacobsen, „Director DACH“ bei Varonis.

Abbildung: Varonis Systems, New York

Studie von Varonis: Thema Datensicherheit in virtuellen Umgebungen von IT-Organisationen häufig vernachlässigt

Die Ergebnisse deuteten darauf hin, dass die Virtualisierung zwar eine bahnbrechende Methode zur Isolation von Anwendungen und Diensten mit nur wenigen Klicks darstelle, jedoch keine Lösung für das Berechtigungsmanagement und die Zugriffsüberwachung sei, sondern deren Komplexität sogar noch erhöhe.
Der Schutz von Daten auf virtuellen Servern erfordere dieselbe Sorgfalt und Aufmerksamkeit wie in physischen Umgebungen – vielleicht sogar noch mehr, da das Management mehrerer Betriebssysteme auf einem einzigen Rechner deutlich komplexer sei. Damit Organisationen die Kontrolle über ihre digitalen Objekte behalten, sei die Weiterbildung ihrer IT für sie überlebenswichtig – und zwar sowohl die Schulung von Mitarbeitern zum Umgang mit virtuellen Dateisystemen als auch zur effektiven Nutzung automatisierter Prozesse, um Sicherheitslücken aufzudecken, Aktivitäten zu überwachen und Berechtigungen zu steuern, so Jacobsen.

Weitere Informationen zum Thema:

varonis
Nearly Half of IT Staff Fear Unauthorized Access To Virtual Servers

[datensicherheit.de, 08.12.2010] Die jüngsten WikiLeaks-Veröffentlichungen interner diplomatischer Korrespondenz der USA wurden dadurch möglich, dass offenbar ein Armeeangehöriger unbefugt Zugriff auf brisante Informationen hatte. Dieser Fall zeigt einmal mehr, dass Behörden – aber auch Unternehmen – wichtige vertrauliche Informationen häufig nur ungenügend schützen:
Mehr als 2,5 Millionen Personen hätten wie der beschuldigte Armeeangehörige die streng geheimen Daten ungehindert nutzen können. Eine derartige Personenanzahl mit Zugriff auf geheimes Wissen sei absolut unvertretbar und lasse sich unter anderem durch „Chaoszustände in der Rechteorganisation“ erklären, kommentiert Stephan Brack, Geschäftsführer der protected-networks.com GmbH in Berlin. Würden Zugriffsrechte bereits nachlässig angelegt, böten sie in ihrer Funktion intern weder Überblick noch Schutz, doch noch immer scheuten viele Unternehmen und Behörden aus Angst vor hohen Kosten eine Optimierung in der Organisation von Datenzugriffen.
Die protected-networks.com GmbHz.B. bietet „8MAN“als eine eigene
Entwicklung für ganzheitliches Berechtigungsmanagement an. Bereits beim Anlegen einer Berechtigung beginnt der prozessorientierte Workflow – übersichtliche Baumstrukturen sollen helfen, die gesamte Rechtelage zu erfassen. Verantwortliche legen dabei fest, welchen Status eine Person nach dem „Need-to-know-Prinzip“ erhält – also ob gar kein Zugriff, nur Ansehen oder auch Verändern des Inhaltes erlaubt wird. Riskante Zugriffsrechte werden erkannt und gemeldet. Zudem werden sämtliche Änderungen in den Berechtigungslagen lückenlos protokolliert.

© protected-networks.com GmbH

Sensible Informationen: Riskante Zugriffsrechte sollten erkannt und gemeldet werden!

Weitere Informationen zum Thema:

protected-networks.com GmbH
Die Lösung / 8MAN – Mehr Unterstützung und Transparenz für Ihr Berechtigungsmanagement