ADMIN

2023

10

2023-09-28T12:00:00

Proaktive IT-Sicherheit

SCHWERPUNKT

092

Sicherheit

Berechtigungskontrolle

Berechtigungskontrolle beim Mitarbeiterwechsel

Personalkarussell

von Daniel Hofmann

Veröffentlicht in Ausgabe 10/2023 - SCHWERPUNKT

Ob freiwillig oder nicht – jedes Jahr wechseln Millionen an Mitarbeitern den Arbeitgeber. Die Zugangsdaten, die bei einem Weggang oftmals zurückbleiben, sind ein gefundenes Fressen für jeden Hacker. Der Fachartikel erklärt, wie CISOs mit einem effektiven Permission Management ihre Compliance-Richtlinien effizient umsetzen können. Helfen können dabei sowohl passende Werkzeuge als auch kontinuierliche Mitarbeitertrainings.

Corona-Pandemie, Fachkräftemangel und eingetrübte Konjunkturlage: Die Treiber für die weltweit vorherrschende Mitarbeiterfluktuation sind bekannt. So ist der in den USA gängige Trend der "Great Resignation" längst auch auf Europa übergeschwappt. Immer mehr Beschäftigte kündigen ihren Job, weil sich in den letzten Jahren die Prioritäten verschoben haben. Das Individuum rückt wieder in den Vordergrund und eine ausgewogene Work-Life-Balance wird immer wichtiger. In Zeiten des Fachkräftemangels sind sie sich zudem ihrer guten Ausgangslage bewusst. Daher denkt laut einer Mc­Kinsey-Studie ein Drittel der Beschäftigten über einen Arbeitsplatzwechsel nach.
Andererseits kommt es in den vergangenen Wochen und Monaten gerade in Tech-Unternehmen aufgrund der Rezession verstärkt zu Massenentlassungen. Automatisierungstools auf Basis von generativen KI-Modellen führen zudem dazu, dass die Produktivität jedes Mitarbeiters auf die Probe gestellt wird. Jüngstes Beispiel ist die indische E-Commerce-Plattform Duukan, die zuletzt 90 Prozent der Kundendienstmitarbeiter entlassen hat. Aufgrund all dieser Faktoren steigt die Fluktuation seit Jahren an und erreichte im Jahr 2022 mit einer Quote von 15,2 Prozent ein zwischenzeitliches Rekordhoch.
Kein Überblick, keine Kontrolle
Doch gerade diese ausscheidenden Mitarbeiter hinterlassen in der Regel eine Flut an verwaisten Daten. Egal ob SharePoint, MS Teams oder OneDrive, gerade in Unternehmen, die New-Work-Modelle mit innovativen Kollaborationstools wie Microsoft 365 praktizieren, stellen die Applikationen ein signifikantes Sicherheitsrisiko dar. Oft sammeln sich in Unternehmen Tausende an Dokumenten, Dateien, E-Mails oder auch Zugangsberechtigungen an. In den seltensten Fällen haben Securityverantwortliche den Überblick, ob sich in diesen Objekten geschäftskritische Daten verbergen. Werden beispielsweise SharePoint-Sites mit externen Dritten geteilt, mit denen ein Unternehmen zusammenarbeitet, entsteht zeitweilen eine Situation, in der die IT-Abteilung nicht einmal von der Weitergabe weiß.
Corona-Pandemie, Fachkräftemangel und eingetrübte Konjunkturlage: Die Treiber für die weltweit vorherrschende Mitarbeiterfluktuation sind bekannt. So ist der in den USA gängige Trend der "Great Resignation" längst auch auf Europa übergeschwappt. Immer mehr Beschäftigte kündigen ihren Job, weil sich in den letzten Jahren die Prioritäten verschoben haben. Das Individuum rückt wieder in den Vordergrund und eine ausgewogene Work-Life-Balance wird immer wichtiger. In Zeiten des Fachkräftemangels sind sie sich zudem ihrer guten Ausgangslage bewusst. Daher denkt laut einer Mc­Kinsey-Studie ein Drittel der Beschäftigten über einen Arbeitsplatzwechsel nach.
Andererseits kommt es in den vergangenen Wochen und Monaten gerade in Tech-Unternehmen aufgrund der Rezession verstärkt zu Massenentlassungen. Automatisierungstools auf Basis von generativen KI-Modellen führen zudem dazu, dass die Produktivität jedes Mitarbeiters auf die Probe gestellt wird. Jüngstes Beispiel ist die indische E-Commerce-Plattform Duukan, die zuletzt 90 Prozent der Kundendienstmitarbeiter entlassen hat. Aufgrund all dieser Faktoren steigt die Fluktuation seit Jahren an und erreichte im Jahr 2022 mit einer Quote von 15,2 Prozent ein zwischenzeitliches Rekordhoch.
Kein Überblick, keine Kontrolle
Doch gerade diese ausscheidenden Mitarbeiter hinterlassen in der Regel eine Flut an verwaisten Daten. Egal ob SharePoint, MS Teams oder OneDrive, gerade in Unternehmen, die New-Work-Modelle mit innovativen Kollaborationstools wie Microsoft 365 praktizieren, stellen die Applikationen ein signifikantes Sicherheitsrisiko dar. Oft sammeln sich in Unternehmen Tausende an Dokumenten, Dateien, E-Mails oder auch Zugangsberechtigungen an. In den seltensten Fällen haben Securityverantwortliche den Überblick, ob sich in diesen Objekten geschäftskritische Daten verbergen. Werden beispielsweise SharePoint-Sites mit externen Dritten geteilt, mit denen ein Unternehmen zusammenarbeitet, entsteht zeitweilen eine Situation, in der die IT-Abteilung nicht einmal von der Weitergabe weiß.
Dabei sollten Unternehmen allein aus intrinsischer Motivation Transparenz und Kontrolle über ihr Permission Management anstreben. Zwar wähnt sich gemäß dem Cybersecurity Report 2023 von Hornetsecurity nach wie vor ein Viertel aller IT-Fachkräfte in dem Glauben, dass die in Clouddiensten gespeicherten Daten sicher und geschützt sind. Doch weit gefehlt: Gemäß dem Modell der geteilten Verantwortung, das unter anderem Microsoft ausübt, ist es der Kunde, der für die Sicherheit auf Datenebene haftet.
War es bei herkömmlichen On-Premises-Systemen noch üblich, Gastzugriffe formell zu beantragen, sodass sich alle Zugriffe über Namen und weitere Autorisierungsinformationen steuern ließen, ist die Governance bei cloudbasierten Kollaborationstools eben ungleich schwerer zu wahren. Sofern der Benutzer die Einstellungen für die Dateienfreigabe per Link nicht ändert, kann jeder auf die versandte Datei zugreifen, der Zugang zu diesem Link hat. Das potenzielle Chaos, das mit dieser Praxis einhergeht, kann nachhaltige Folgen für die Sicherheit eines Unternehmens haben.
Steigender Druck durch Compliance-Vorgaben
Als Antwort auf die stetig steigende Cybersecurity-Bedrohungslage haben der nationale und internationale Gesetzgeber die Anforderungen an Unternehmen zuletzt deutlich in die Höhe geschraubt. Allen voran Betreiber Kritischer Infrastrukturen (KRITIS) sehen sich Richtlinien wie der NIS 2 (Network and Information Security) der Europäischen Union oder dem deutschen IT-Sicherheitsgesetz 2.0 ausgesetzt. So sind sie angewiesen, ihre Sicherheitsstrategien stets auf dem neuesten Stand der Technik zu halten. Das schließt eine effiziente Berechtigungskontrolle mit ein.
Danach verpflichtet NIS 2 die Unternehmen zu geeigneten technischen und organisatorischen Maßnahmen, um digitale Identitäten zu verwalten und Benutzerzugriffe auf sensible Geschäftsinformationen genau zu überwachen. Kommt es zu Sicherheitsverstößen, können die Verantwortlichen persönlich haftbar gemacht und die Unternehmen mit Strafen von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes belegt werden. Da die NIS-2-Richtlinie von den einzelnen EU-Mitgliedsstaaten bis Oktober 2024 in nationales Recht umzusetzen ist, müssen sich auch die Unternehmen zeitnah darum bemühen, eine Compliance-konforme Berechtigungsverwaltung einzuführen. Diese Dringlichkeit belegt der Cybersecurity Report, demzufolge die Zusammenarbeit mit externen Benutzern durch die Nutzung von Clouddiensten in den letzten Jahren kontinuierlich angestiegen ist.
Finanzielle Verluste und Imageschäden
Erlangen Cyberangreifer Zugriff auf Zugangsdaten oder sensible Informatonen, kann dies dramatische Folgen haben. Nicht nur können kritische Daten für den eigenen Unternehmenserfolg durch Mitbewerber gestohlen werden, durch generative KI-Modelle lassen sich die Angriffe beliebig hochskalieren, sodass in kürzester Zeit eine Firma komplett stillgelegt werden kann. Im schlimmsten Fall greifen die Angreifer sogar Kundendaten ab. Neben den hohen finanziellen Folgen eines Geschäftsausfalls hätte dies bei Bekanntwerden einen kaum wiedergutzumachenden Reputationsschaden zur Folge. Der mittelbare finanzielle Schaden, der daraus resultiert, kann ein Unternehmen langfristig in den Ruin treiben.
Besonders brachliegende Berechtigungen und Zugangsdaten sind dabei ein gefundenes Fressen für Cyberkriminelle. Haben Unternehmen keinen Überblick darüber, wie viele Accounts Zugriff auf die entsprechenden Dateien haben, fällt es auch nicht direkt auf, wenn sie geöffnet oder Änderungen daran vorgenommen werden. Stattdessen kommt ein Hackerangriff oftmals erst Monate später ins Blickfeld. In diesem Zug alle Dateien und Zugangsberechtigungen einzeln zu überprüfen, gleicht einer Herkulesaufgabe und kann wiederum Wochen – wenn nicht sogar Monate – in Anspruch nehmen.
Unternehmen fehlt Manpower für Kontrollen
Ein weiterer Aspekt ist, dass auch in vielen größeren Konzernen die IT-Abteilung eher stiefmütterlich behandelt und besetzt wird. Vielerorts ist eine Security-Fachkraft für mehrere hundert Mitarbeiter und eine Unzahl an technologischen Tasks verantwortlich und soll zeitgleich an unterschiedlichen Stellen Brände löschen. Die IT-Compliance-Umfrage von Hornetsecurity belegt dieses Bild: Mehr als zwei Drittel (69 Prozent) gaben an, dass die Einhaltung von Compliance-Richtlinien signifikante Auswirkungen auf den Betrieb der jeweiligen IT-Abteilung hat. Lediglich jedes fünfte Unternehmen (21,6 Prozent) nutzt bereits entsprechende Systeme, Ressourcen, die an anderer Stelle wieder fehlen.
Zwar könnten CISOs in diesem Zuge dazu übergehen, die Standardfunktionen zur Freigabe von Dokumenten in Microsoft 365 komplett zu deaktivieren. Jedoch riskieren sie im Umkehrschluss, dass ihre Mitarbeiter kreative Wege finden, die Dateien oder zumindest deren Inhalt weiterzugeben. Werden die Informationen im schlimmsten Fall über private E-Mail-Konten geteilt, geht der Überblick komplett verloren.
Tools für ein besseres Permission Management
Aus diesem Grund sollten Unternehmen, die mit cloudbasierten Kollaborationstools arbeiten, die Anschaffung eines effizienten Permission Managements in Betracht ziehen. Dadurch lassen sich nicht nur im Handumdrehen verwaiste Daten, wie beispielsweise die Freigabe- und Zugriffsberechtigungen ausgeschiedener Mitarbeiter oder unzähliger Dateien aufspüren. Darüber hinaus sind CISOs mit einer entsprechenden Applikation auch in der Lage, die Dateienfreigabe an Externe in Echtzeit zu monitoren und so gegebenenfalls direkte Maßnahmen zu ergreifen, wenn Daten an Unautorisierte oder Externe weitergegeben werden.
Mit solch effizienten Richtlinien und Verfahren zur Daten- und Zugriffsverwaltung können Unternehmen die ordnungsgemäße Dokumentation von Zugangsberechtigungen sowie der Zuweisung von Eigentumsrechten sicherstellen und gewährleisten, dass der CISO sowohl Strategie als auch die Programme des eigenen Unternehmens wirksam überwachen kann. So lässt sich der Zugriff auf geschäftskritische Unternehmensdaten durch Unbefugte konsequent verhindern.
Mitarbeitertraining nicht vergessen
Neben entsprechenden Tools zur Sicherstellung der eigenen Cybersecurity-Strategie benötigt jedes Unternehmen darüber hinaus eine Belegschaft, die einerseits entsprechend geschult ist, um mit diesem Werkzeugkasten auch umgehen zu können, die aber andererseits auch über die nötige Awareness verfügt, um zu wissen, wie sie mit Zugangsberechtigungen und sensiblen Informationen umzugehen haben. Hierbei zeigt sich, dass Organisationen weder darauf vertrauen sollten, dass sie nicht Ziel eines Angriffs werden, noch, dass ihre Mitarbeiter wissen, wie sie zu handeln haben.
Bereits ein kleiner Moment der Unachtsamkeit – etwa durch versehentlich öffentlich zugängliches Teilen eines Links oder ein falsch gewählter E-Mail-Adressat – kann einen unmittelbaren Schaden für das Unternehmen bedeuten. Es gilt also für Unternehmen, die eigene Belegschaft zu schulen. Das Stichwort hierbei lautet Kontinuität: Einmal Gelerntes ist bald wieder vergessen, wenn es nicht regelmäßig aufgefrischt wird. Jeder Monat Trainingspause führt zu einem signifikanten Abfall des Sicherheitsbewusstseins jedes einzelnen Mitarbeiters. Daher müssen Unternehmen ihre Belegschaft am Ball halten und ihnen die Problematik von unkontrolliertem Handeln stetig vor Augen führen.
Fazit
Im Zuge der weltweit wachsenden Mitarbeiterfluktuation sehen sich viele Unternehmen einer Flut an verwaisten, teilweise hochsensiblen Daten ausgesetzt. Geraten dabei geschäftskritische Daten in die falschen Hände, können hohe finanzielle Verluste, empfindliche Geldstrafen und langanhaltende Reputationsschäden die Folge sein. Nur wer alle Faktoren des Permission Managements – von den verwendeten Tools bis zu den eingesetzten Mitarbeitern – auf dem neuesten Stand hält, bleibt langfristig Herr über seine Zugangsberechtigungen.
(ln)
Daniel Hofmann ist Gründer und CEO von Hornetsecurity.