Die Mehrzahl von Beschäftigten sucht bewusst nach sensiblen Unternehmensinformationen, auf die sie nicht zugreifen dürfen. Das heißt: Unternehmen haben in dieser Hinsicht ein massives Problem mit ihrer eigenen Belegschaft.
Laut einer von Dimensional Research durchgeführten globalen Studie im Auftrag des IAM-Anbieters One Identity versuchen 92 Prozent der Befragten auf Informationen zuzugreifen, die sie für ihre tägliche Arbeit nicht benötigen. Beinahe einer von vier Befragten (23 %) sagte, dass dies sogar häufig der Fall sei.
IT-Sicherheitsexperten: Wenn der Bock zum Gärtner wird
Besonders alarmierend sei die Tatsache, dass gerade IT-Sicherheitsexperten selbst zu den schlechtesten Hütern von Unternehmensdaten gehören. Einer von drei Befragten räumte ein, bereits auf sensible Informationen zugegriffen zu haben: Informationen, die nicht notwendig waren, um die tägliche Arbeit zu verrichten. Die Resultate seien umso erschreckender, wenn man bedenke, dass der Missbrauch mit Hilfe von privilegierten Zugriffsberechtigungen erfolgte, die mit der Position als IT-Sicherheitsexperte verbunden sind.
Weitere Ergebnisse der Studie
- Informationen zu Leistung und Erfolg des Unternehmens sind „heiße Ware“: Mehr als einer von drei Befragten (36 %) hat eingeräumt nach sensiblen Informationen zu Leistung und Erfolg des Unternehmens gesucht oder sogar schon darauf zugegriffen zu haben. Unabhängig davon, ob diese Informationen tatsächlich erforderlich gewesen wäre.
- IT-Sicherheits-Manager tragen aufgrund ihrer privilegierten Position und den damit verbundenen Zugriffsberechtigungen die größte Verantwortung: 71 Prozent von ihnen gaben zu, nach für sie nicht notwendigen Informationen zu suchen, verglichen mit lediglich 56 Prozent der Mitarbeiter außerhalb des Management-Teams. 45 Prozent der Befragten auf Management-Ebene räumten ein, gezielt nach sensiblen Unternehmens-informationen zu suchen oder bereits darauf zugegriffen zu haben. Das taten im Vergleich dazu nur 17 Prozent der Mitarbeiter in IT-Teams.
- Je kleiner das Unternehmen, desto mehr wird „geschnüffelt“: 38 Prozent der IT-Sicherheitsexperten in Unternehmen mit 500 bis 2.000 Mitarbeitern räumten ein, aktiv nach solchen Unternehmensinformationen zu suchen, während das in Unternehmen mit mehr als 5.000 Beschäftigten nur 29 Prozent tun.
- Wer in Technologieunternehmen arbeitet, interessiert sich ganz besonders für sensible Informationen: 44 Prozent der Befragten, die in einem Technologieunternehmen beschäftigt sind, haben schon aktiv nach Informationen zur Unternehmensperformance gesucht, verglichen mit 36 Prozent der Befragten aus dem Finanzwesen, 31 Prozent aus der Industrie und nur 21 Prozent aus dem Gesundheitswesen.
John Milburn, President und General Manager von One Identity: “Während Insider-Bedrohungen oftmals gar nicht beabsichtigt sind, ist es offensichtlich weit verbreitet, dass Mitarbeiter sich bei Daten und Informationen einmischen, die nicht in ihren Verantwortungsbereich fallen. Und es ist gerade dieses offensichtlich weit verbreitete Phänomen, mit dem Mitarbeiter sich und die Firma in Teufels Küche bringen. Ohne übergreifende Governance der Zugriffsberechtigungen und Rechtevergaben stellen Unternehmen ihren Angestellten einen Freifahrtschein aus, nach Belieben auf sensible Informationen zuzugreifen. Dazu gehören Unternehmenszahlen, vertrauliche Kundendaten oder private Dateien der Geschäftsführung. Geraten solche Informationen in die falschen Hände, sind die Folgen immer schwerwiegend. Der Verlust von Unternehmens- und Kundendaten oder deren Offenlegung und Verstöße gegen geltende Compliance-Richtlinien sind mögliche Risiken, die unwiderruflich Schaden an Image oder Finanzkraft eines Unternehmens anrichten.“
Mit Risiken beim Zugriffs- und Berechtigungsmanagement umgehen
Unternehmen halten sich laut One Identity zu wenig an empfohlene Praktiken, wenn es um grundlegende Maßnahmen des Identitäts- und Access-Managements geht. Was das unberechtigte Herumschnüffeln von Beschäftigten anbelangt, solleb eine Rollen-basierte Zugriffskontrolle und eine strikte Governance der Rechte und Genehmigungen dazu beitragen, potentiell böswillige Akteure davon abzuhalten auf vertrauliche und sensible Informationen zuzugreifen.
Und in Bezug auf „zu neugierige“ IT-Sicherheitsexperten im Besonderen könnten Firmen Identity Intelligence benutzen, um herauszufinden, wer über erhöhte Rechte verfüge und wo genau der Rechtemissbrauch stattfindet, um dagegen vorzugehen – eine Methode, die insbesondere greife, wenn IT-Sicherheitsverantwortliche selbst zu denen gehören, die unbefugt auf sensible Informationen zugreifen.
Auch ein weiterer Bericht, der ebenfalls auf den Ergebnissen der Studie basiert, habe wenig Erfreuliches zu Tage gefördert. Inaktive, verwaiste Konten, die nicht gesperrt sind und so ehemaligen Mitarbeitern oder böswilligen Akteuren den Zugriff erlauben, sind keine Seltenheit. Zugriffsberechtigungen von Mitarbeitern, die innerhalb des Unternehmens die Position gewechselt oder das Unternehmen bereits verlassen haben, sind oftmals nicht auf dem aktuellen Stand und stellen ein weiteres potentielles Risiko dar.
Methodik: Die One Identity Global State of IAM Study basiert auf einer Online-Umfrage, die Dimensional Research unter über 900 IT-Experten in den USA, Kanada, dem Vereinigten Königreich, Deutschland, Frankreich, Australien, Singapore und Hongkong durchgeführt hat, bei denen IT-Sicherheit den überwiegenden Teil ihrer professionellen Aufgaben betrifft und die zusätzlich über fundiertes IAM-Wissen verfügen.