[datensicherheit.de, 09.10.2014]  Christian Zander, CTO 8MAN aus Berlin, widmete sich in seinem Impulsvortrag „8MAN: Wir bringen Licht in den Berechtigungsdschungel“ einer in der Regel für Administratoren unangenehmen und aufwandsintensiven Frage: Welche Zugriffsrechte auf die betriebliche IKT haben aktive und auch ehemalige Mitarbeiter?

Foto: Dirk Pinnow

Christian Zander: Faktischer Vollzugriff nicht immer sofort erkennbar

Ein typisches Beispiel sei ein mittelständischer Lieferant, der Bauteile an zwei konkurrierende Großunternehmen liefert, und nachweisen muss, dass der Konkurrent keinen Zugriff auf die eigenen Projektdaten erhält. Dieses geheime Projekt sei auf dem Fileserver abgelegt. Blicke man auf die Registerkarte, so seien die dort notierten Informationen nicht zu kopieren – man müsse die angelegten Gruppen der Rechteinhaber abschreiben. Es sei sehr entscheidend, ob neben Lese- und Schreibrechten unter Umständen auch Sonderrechte (spezielle Berechtigungen) bestehen, denn ein faktischer Vollzugriff sei nicht immer sofort erkennbar. In einer solchen Registerkarte könnten Dutzende von Berechtigungsgruppen abgelegt sein, die jeweils auch noch Untergruppen haben könnten.
Dieser unsägliche Zustand habe ihn vor Jahren dazu inspiriert, ein Software-Tool zu schaffen, dass die Rechtevergabe auf einen Blick dokumentiert. Mit „8MAN“ sei es so möglich, auf die Frage, wer Zugriff auf ein x-beliebiges Projekt hat, sofort darzustellen. Es sei auch eine temporäre Rechtevergabe möglich.
Um die Brisanz nochmals zu verdeutlichen, gab Zander folgendes Beispiel: Ein Mitarbeiter sei über einen Zeitraum von 14 Jahren durch zahlreiche Abteilungen eines größeren Unternehmens  gewandert und habe entsprechend der neuen Aufgaben immer neue Zugriffsrechte erhalten – und die alten behalten. Nun scheide dieser aus und seinem Nachfolger sollen Rechte eingeräumt werden; der Einfachheit halber würden diesem dieselben Rechte wie dem Vorgänger zuerkannt, was faktisch einem Vollzugriff gleichkomme.

Weitere Informationen zum Thema:

8MAN
Deshalb entwickeln wir 8MAN

[datensicherheit.de, 13.05.2012] Die Softwarelösung „8MAN“ in der Version 4.2 zur Analyse und Kontrolle aller Zugriffsrechte unterstützt bei der Rechteverwaltung und -vergabe nun auch eine funktionale Trennung von Business- und IT-Rollen:
Die Lösung der protected-networks.com GmbH, spezialisiert auf das Berechtigungsmanagement in IT-Infrastrukturen, erlaubt es Dateiinhabern und Fachabteilungen, eigenständig Zugriffsrechte zu managen. Verantwortliche IT-Administratoren können die gewünschten Änderungen anschließend mit einem einzigen Mausklick autorisieren.
Die Vergabe von Zugriffsrechten ist meist eine Aufgabe, die ausschließlich von verantwortlichen IT-Administratoren durchgeführt wird. Das Wissen über die Schutzwürdigkeit von Dateien und Verzeichnissen liegt dagegen häufig bei den Dateieignern und in den Fachabteilungen. „8MAN 4.2“ soll daher den „Data Ownern“ bei der Rechtevergabe optional mehr aktive Mitarbeit erlauben, ohne die wichtige zentrale Übersicht aufzugeben. Wird die entsprechende Funktion bei der Konfiguration von „8MAN“ aktiviert, könnten diese eine gewünschte Veränderung oder Erweiterung von Zugriffsrechten schnell und einfach in einem Bildschirmfenster erfassen. Auch die Angabe von Gründen für die Änderung sei möglich. Der verantwortliche Administrator erhalte diese Informationen umgehend übermittelt und könne sie mit einem einzigen Klick genehmigen oder ablehnen. Diese Vorgehensweise sei bei allen Modifikationen der Zugriffsrechte möglich – zum Beispiel beim Erstellen und Löschen von Verzeichnissen, von Benutzern, Gruppen und Berechtigungen oder für ein „Soft Delete“, das es erlaube, gelöschte Rechte für einen Anwender zu einem späteren Zeitpunkt schnell wieder zu aktivieren.
Sowohl Administratoren als auch Dateieigner und Fachabteilungen profitierten von diesem Feature. Für die Administration sinke der Arbeitsaufwand, ohne dass der Überblick über sämtliche Änderungen verlorengehe. „Data Owner“ seien in der Lage, schnell und einfach Modifikationen zu initiieren, so dass sich Veränderungen in den Betriebsabläufen zeitnah in der Rechtevergabe widerspiegelten.
Heute arbeiteten in modernen Unternehmen häufig keine absoluten IT-Laien mehr am PC, sondern Menschen, die mit dem Computer aufgewachsen seien und um die Bedeutung digitaler Informationen wüssten. Entsprechend sei es nur logisch, ihnen auch die selbst gewünschte Mitverantwortung beim Schutz der digitalen Ressourcen zu übertragen, so Stephan Brack, „CEO“ von protected-networks.com in Berlin.

Weitere Informationen zum Thema:

8MAN
BERECHTIGUNGSMANAGEMENT

[datensicherheit.de, 05.05.2012] Laut einer aktuellen Studie der Sicherheitsfirma Corporate Trust, mit Unterstützung von TÜV Süd und Brainloop, erwarten Experten für 2012 Kosten von 4,2 Milliarden Euro durch Wirtschaftsspionage – mehr als die Hälfte der deutschen Unternehmen sei davon betroffen.
Die protected-networks.com GmbH aus Berlin erläutert hierzu, dass das höchste Risiko dabei weiterhin von eigenen Mitarbeitern ausgehe – in insgesamt 70,5 Prozent der Fälle seien diese, ob bewusst oder unbewusst, an den Spionageaktionen beteiligt. Stephan Brack, Gründer und „CEO“ des auf Lösungen zum Berechtigungsmanagement spezialisierten Unternehmens, sieht noch weitere Risiken, Herausforderungen und vor allem Nachholbedarf auf das Management der Unternehmen zukommen.

Foto: protected-networks.com GmbH, Berlin

Stephan Brack sieht beim Rechtemanagement Nachholbedarf für das Management in den meisten Unternehmen

Als Hersteller von Lösungen zum Berechtigungsmanagement träfen sie häufig auf Strukturen, bei denen keine großen Spionagetricks angewendet werden müssten, um an sensible Daten zu kommen, erzählt Brack. Verstärkt träten dabei inzwischen Lücken auf, die sich auf die erhöhte Mobilität im Arbeitsalltag zurückführen ließen – Unternehmer, die im Öffentlichen Raum, etwa am Flughafen, im Zug oder auf der Messe, auf ihrem Tablet-PC sensible Informationen lesen ohne zu wissen, wer ihnen gerade über die Schulter blickt, oder Leute, die noch Jahre nach ihrem Ausscheiden über Remote-Desktop-Verbindungen auf Datensätze des alten Arbeitgebers zugreifen können, weil ihnen die Rechte zwar einmal gegeben, aber nie wieder entzogen wurden.
Vor allem das zweite Beispiel zeige ein grundlegende Problematik – wenn ein Unternehmen sich überhaupt um die geordnete Vergabe von Zugriffsrechten kümmert, dann erteile es diese Rechte meist nur, aber niemand kümmere sich aber darum, dass diese Rechte auch wieder entzogen werden. Ein zweites Szenario, das dabei sehr häufig vorkomme, sei das sogenannte „Azubi-Problem“. In großen Konzernen durchliefen Auszubildende ja meist mehrere Abteilungen im Laufe ihrer Lehrjahre. Nun erhielten sie dazu von jeder Fachabteilung entsprechende Zugriffsberechtigungen – verlören diese aber nicht wieder. Dies könne schließlich dazu führen, warnt Brack, dass im schlimmsten Fall viele Azubis am Ende ihrer Ausbildung Zugriff auf mehr sensible Daten hätten
als mancher Abteilungsleiter.
Die Ansätze für Datendiebe seien also zahlreich – ob nun für eigene Mitarbeiter oder ob diese nur ausgenutzt werden, spiele dabei meist im Ergebnis keine Rolle. Dem entgegenzuwirken bedürfe aber laut Brack vor allem dreier Anstrengungen von Seiten des Managements. Zum einen müsse eine effektive und nachvollziehbare Infrastruktur zur Rechtevergabe und zum Rechtemanagement aufgebaut werden – die entsprechenden Lösungen hierzu gebe es bereits am Markt. Zum anderen müssten solche Lösungen dann aber auch genutzt werden, um die Berechtigungen jedes Mitarbeiters auf ein Minimum zu beschränken. Denn mindestens genauso oft wie Daten
bei jemandem verschwinden, der darauf gar nicht hätte zugreifen dürfen, passiere es bei denjenigen, die keine Rechte hätten haben müssen.
Zuletzt müsse das Bewusstsein für diese Art der Industriespionage und des Datendiebstahls noch höher werden. Es helfe, so Brack in einer bewusst zugespitzten Darstellung, niemandem, wenn man „im Forschungstrakt die Vorhänge zuzieht und keine Besucher mehr durch die Fertigungsstraße führt, weil man Angst vor Leuten mit Minikameras und anderem James-Bond-Spionagegerät hat – während irgendwo im Unternehmen ein Praktikant fröhlich Blaupausen und Kundendaten auf seinen USB-Stick zieht“.

Weitere Informationen zum Thema:

protected-networks.com
Mehr Sicherheit durch Berechtigungsmanagement!

[datensicherheit.de, 16.09.2010] Unter Datensicherheitsexperten wird „IT“ häufig weniger als „Informationstechnologie“, sondern eher als „interner Täter“ interpretiert. Bei allen notwendigen Schutzvorkehrungen vor den externen Bedrohungen lässt die innere Gefährdung der Daten und der IT-Infrastruktur häufig die erforderliche Wahrnehmung vermissen. Im Vorfeld der it-sa 2010 warnt nun auch die protected-networks.com GmbH, dass „Innentäter“ leichte Hand bei Unternehmensdaten hätten:
Hierbei steht die geringe Sicherheit im Zugriffsmanagement im Fokus der Warnung, denn dadurch werden kriminelle Handlungen erleichtert. Gerade die durch IT erwünschte Arbeitserleichterung, nämlich direkt vom Arbeitsplatz auf alle möglichen Dokumente und Ordner zugreifen zu können. birgt große Risiken.
Zur Verringerung solcher Risiken empfiehlt protected-networks eine sichere und effektive Rechtevergaben an Mitarbeiter. Lassen sich in kleinen Unternehmen Berechtigungslagen noch relativ einfach und übersichtlich handhaben, stellt doch ab einer bestimmten Größe die Verwaltung von Berechtigungen einen immensen Aufwand dar, bei dem es schnell zu „Überberechtigungen“ kommen kann – und in der Folge zu Datendiebstahl, Wirtschaftskorruption und Mitarbeiterbetrug.
Meldungen über interne Kriminalität häuften sich indes – eine aktuelle Studie der Wirtschaftsprüfungsgesellschaft KPMG belege, dass Innentäter in Unternehmen leichtes Spiel hätten; besonders mittelständische Unternehmen wiesen bei der Vergabe von Zugriffsrechten Defizite auf, so protected-networks.
Das Berliner Unternehmen protected-networks.com GmbH hat daher eine Software-Lösung für Sicherheit und Organisation im Berechtigungsmanagement entwickelt; es ist auf der it-sa 2010 in Halle 12 am Stand 354 vertreten.

Weitere Informationen zum Thema:

protected-networks.com GmbH
Safety First / Rundum-Schutz für Berechtigungen

securitymanager.de, 22.01.2010
KPMG-Studie: Unternehmen fürchten Betrug, Datenklau und Korruption durch eigene Mitarbeiter