22.04.2009 – Eine Untersuchung hat ergeben, dass viele Unternehmen ihre Zugangsberechtigungen zu sorglos behandeln. Dies kann nicht nur für die IT-Abteilung Konsequenzen nach sich ziehen.
Eine Untersuchung hat ergeben, dass viele Unternehmen ihre Zugangsberechtigungen zu sorglos behandeln. Dies kann nicht nur für die IT-Abteilung Konsequenzen nach sich ziehen.
Die Firma hat sich eingehend mit der Behandlung von Berechtigungssystemen durch deutsche Firmen beschäftigt. Das Ergebnis präsentiert sich als keineswegs zufrieden stellend. Die Qualität der Personaldaten in den Datensystemen der Unternehmen, lässt offenbar zu wünschen übrig; von insgesamt 70 beobachteten Organisationen, konnten magere zwei eine 100-prozentige Datenqualität aufweisen. Schwerpunkt der Studie war die Frage, ob alle im System mit Zugangsberechtigungen ausgestatteten Personen, auch tatsächlich zur Firma gehören. 68 Häuser gewähren also, laut der Studie, Personen Zugriff auf sensible Firmendaten, die gar nicht mit diesen Rechten ausgestattet sein dürften. Dabei sind die Gefahren die nicht nur von unzufriedenen Ex-Mitarbeitern ausgehen durchaus bekannt.
Völcker Informatik stellte fest, dass die Datenqualität bei einem Großteil der Unternehmen etwa 70-80 Prozent beträgt. Das bedeutet im Umkehrschluss, dass die IT-Abteilungen 20 bis 30 Prozent der Zugriffsberechtigten für interne Daten nicht eindeutig identifizieren können – ein gefährliches Spiel mit dem Feuer? Peter Weierich, Sprecher für Völcker Informatik, ist jedenfalls dieser Ansicht. Dieser Mangel an Übersicht könne gleich doppelt schädlich werden: Fehlende Informationen darüber wer Zugriff hat, seien generell eine gefährliche Sicherheitslücke. Des Weiteren sieht er den ökonomischen Aspekt; brach liegende Benutzer-Konten würden, beispielsweise in Form von Lizenzen, die Unternehmen viel Geld kosten. Und nicht nur die IT-Abteilungen könnten sich eine Menge Ärger einhandeln, denn wenn Geschäftsführer und Vorstände es versäumten sichere Prozesse anzuordnen und durchzusetzen, würden sie für Schäden am Unternehmen persönlich haften.
Ursachen für die lückenhafte Absicherung sehen die Autoren der Studie schon in der Personalabteilung. Häufig würden Personaler es gar nicht für nötig erachten die IT-Abteilung über Wechsel in der Belegschaft zu informieren. Eine weitere Fehlerquelle sind außerdem temporäre Mitarbeiter-Accounts. Sie werden angelegt, wenn ein Mitarbeiter noch nicht im eigentlichen System angemeldet ist und später nicht korrekt auf ein volles Benutzerkonto umgestellt wird. Für externe und befristete Mitarbeiter würden häufig anonyme Accounts angelegt, mit denen der Zugriff auf Firmeninterna möglich sei und die leider fast ebenso häufig nicht wieder gelöscht würden. Peter Weierich spricht hier von schlichter Schlamperei bei der Arbeit. Es ist wichtig, dass jedem Mitarbeiter( )eine eindeutige, elektronische Identität zugeordnet wird, mahnt er an. Nicht mehr benötigte Accounts müssten umgehend beseitigt werden. Würde man die Prozesse hierfür weitgehend automatisieren hätte man laut Weierich bereits einen großen Beitrag zur Minimierung des IT-Risikos geleistet.
14.04.2009 – Spam dominiert weiterhin den eMail-Verkehr im Netz
03.04.2009 – Datensicherheit wird vernachlässigt
31.03.2009 – Mit RFID durch den Sturm
27.03.2009 – Beschaffungsprozesse optimieren: eProcurement
18.03.2009 – Nutzer noch immer unsicher bezüglich Web-Security
Mehr Infos zum Thema ‚Sicherheit‘
