Für IT-Sicherheitsexperten ist ein Hackerangriff keine Frage des ‚Ob‘, sondern nur noch des ‚Wann‘. Für professionell agierende Cyberkriminelle ist jedes Unternehmen ein interessantes Ziel.
Für einen reibungslosen Ablauf im Unternehmen ist es wichtig, dass jeder Mitarbeitende, jeder Partner und jedes System zum richtigen Zeitpunkt Zugriff auf die benötigten Informationen und Prozesse hat. Neue Mitarbeitende oder auch Zeitarbeitskräfte sollen möglichst ab dem ersten Tag arbeitsfähig sein und nicht wochenlang auf die Freigaben der benötigten Zugriffe warten müssen. Der externe Dienstleister soll zügig in das Projekt einsteigen und der Händler pünktlich liefern können. Und so genügt meist die Unterschrift des Projektverantwortlichen oder Vorgesetzten, und der Zugriff wird freigeschaltet. Verlassen Mitarbeitende oder Externe das Unternehmen oder verändern sie ihr Aufgabengebiet ist es aus Sicherheitsgründen extrem wichtig, die erteilten Zugriffe zeitnah zu entziehen beziehungsweise der neuen Tätigkeit anzupassen. Ein Ablauf, der in vielen Organisationen oftmals vernachlässigt wird.
Auch in kleineren Betrieben wird die IT-Infrastruktur mit jedem Tag komplexer, da viele Firmen ihre Anwendungen aus der Cloud beziehen oder die benötigten Services direkt vom Hersteller kaufen. Jeder zusätzliche Dienst ist ein potenzielles Einfallstor in die firmeneigene IT-Infrastruktur. Nicht selten nutzen auch mittelständische Unternehmen bis zu 50 verschiedene Applikationen. Multipliziert man die Anzahl der digitalen Tools mit den Mitarbeitenden, wird es schnell unübersichtlich. Es wird schwerer zu überblicken, wer alles Zugang zu den Systemen und den darin vorgehaltenen Informationen hat. Oft findet zudem keine Verifizierung statt – es wird nicht geprüft, ob Zugreifende wirklich die- oder derjenige ist, die sie oder er vorgibt zu sein. Das ist, als würde man seinen Haustürschlüssel einfach Fremden überlassen. Man weiß nicht mehr, wer Gast im eigenen Haus ist. Vor allem, weil es an Prozessen mangelt, einmal erteilte Zugriffe auch wieder zu entziehen. Was fehlt, ist eine regelmäßige Inventur.
Es wird schwerer zu überblicken, wer alles Zugang zu den Systemen hat. Oft findet zudem keine Verifizierung statt – es wird nicht geprüft, ob Zugreifende wirklich die- oder derjenige ist, die sie oder er vorgibt zu sein. Das ist, als würde man seinen Haustürschlüssel einfach Fremden überlassen. Man weiß nicht mehr, wer Gast im eigenen Haus ist.
Und so kommt es immer wieder vor, dass ehemalige Mitarbeitende – inzwischen bei der Konkurrenz angestellt – noch immer vollen Zugriff auf die Systeme ihres ehemaligen Arbeitgebers haben. Ebenso externe Dienstleister oder Lieferanten, obwohl ihre Verträge ausgelaufen oder die Projekte beendet sind. Praktikanten haben häufig nach dem Durchlaufen diverser Stationen im Unternehmen die meisten Rechte gesammelt. Viele Zugriffe im System können niemandem mehr zugeordnet werden – wie tote Briefkästen, in denen der Haustürschlüssel liegt.
Mittelstand als attraktives Ziel für Cyberkriminelle
In den dunklen Ecken des Internet gibt es einen regelrechten Schwarzmarkt für digitale Identitäten und deren Credentials. Über diese internen Benutzerkonten gelangen die Hacker wie über eine offene Hintertür ins Haus und verschlüsseln so wichtige Informationen mit Ransomware. Nichts geht mehr. Die Bildschirme bleiben schwarz, der Internetauftritt ist verschwunden, die Produktion lahmgelegt. Die Angreifer fordern meist ein Lösegeld. Doch selbst wer zahlt, hat keine Garantie für die Wiederherstellung seiner Daten.
Mittelständische Unternehmen sind mithin den gleichen Risiken ausgesetzt wie Großkonzerne. Als Zulieferer sind sie meist an die Sicherheitsvorgaben ihrer Kunden gebunden. Nur können sie Angreifern nicht mit der gleichen Schlagkraft entgegentreten. Eine Identitäts-Management-Lösung im Betrieb einzuführen, bindet nicht nur eine Vollzeitkraft. Wer nicht über die nötige Expertise verfügt, wird zudem feststellen, dass geschultes Personal Mangelware ist. Erschwerend kommt hinzu, dass Maßnahmen für mehr IT-Sicherheit keinen sichtbaren Mehrwert bieten. Wer kann schon berechnen, welche Kosten dem Unternehmen durch sicherere Systeme erspart geblieben sind?
Download: EY Broschüre zum Thema „Digitale Identitäten“
Wie Software-as-a-Service-Plattformen insbesondere für den Mittelstand eine Lösung darstellen können.
Software-as-a-Service-Lösungen für das Management von Identitäten und Berechtigungen
Eine lückenlose Überwachung aller Zugänge ist für kleine IT-Abteilungen ohne Hilfe kaum zu bewältigen. Um mit begrenztem Personal den eskalierenden Sicherheits- und Datenschutzanforderungen gerecht zu werden, gibt es standardisierte und automatisierte Software-as-a-Service-Lösungen (SaaS). Hiermit können Mitarbeitende etwa ihre Passwörter selbst vergeben und ändern. Neue Kollegen melden sich im Portal an und sehen sofort, welche Zugriffe auf welche Systeme sie benötigen. Diese stellen sie sich wie in einem digitalen Einkaufskorb zusammen und schicken es an den Vorgesetzten zur Prüfung. Nach dessen Freigabe ist der Mitarbeitende sofort arbeitsfähig.
Um mit begrenztem Personal den eskalierenden Datenschutzanforderungen gerecht zu werden, gibt es standardisierte und automatisierte Software-as-a-Service-Lösungen (SaaS).
Im Idealfall ist die SaaS-Lösung an die Software der Personalabteilung angebunden und erteilt dem Projektleiter, dem Teamassistenten und dem Praktikanten automatisch Zugangsrechte gemäß ihrer Funktion. Scheiden Mitarbeitende aus oder ist ein Projekt beendet, werden die Rechte automatisch wieder entzogen. Ähnlich funktioniert das System bei Lieferanten oder externen Dienstleistern. Die Nutzeridentitäten werden in einer Datenbank an bestehende Aufträge gekoppelt. Sind diese erledigt, werden die Zugriffe automatisch wieder entzogen.
SaaS-Lösungen ermöglichen der IT-Abteilung eine Echtzeit-Übersicht aller Zugriffsberechtigungen. Die IT-Experten müssen sich nicht länger mit Anfragen zu vergessenen Passwörtern und dem Einrichten von Zugängen beschäftigen. Die cloudbasierten Tools ersparen zudem den Betrieb im eigenen Rechenzentrum. Der Kunde muss sich weder um die fortlaufende Erneuerung überholter Hardware noch um Updates kümmern.
Identitäts-Management-Systeme können komplett automatisiert laufen. Voraussetzung ist, dass alle Prozesse davor von Lohnbuchhaltung über die Produktionssteuerung bis zur Lieferantendatenbank automatisiert sind. Das ist oft nicht der Fall, weshalb viele Unternehmen Schritt für Schritt vorgehen. Zunächst werden alle neuen Anwendungen – meist in der Cloud – an das Identitäts-Management-System angebunden. Im Zuge der fortschreitenden Digitalisierung folgen dann sukzessive alle übrigen Kernapplikationen.
SaaS-Lösungen bringen viele Annehmlichkeiten. Sie entlasten die IT-Mitarbeitenden, damit diese sich auf wesentliche Arbeiten konzentrieren können. Erste Ergebnisse sind dank standardisierter Prozesse schnell sichtbar. Einen hundertprozentigen Schutz gegen Cyberattacken gibt es nicht. Aber auch Mittelständler mit begrenzten Ressourcen können es Hackern sehr schwer machen.
Fazit
Die Vernetzung von Geschäftsprozessen, Produktion und Partnern, der Einsatz von Robotics und die Verlagerung von Anwendungen in die Cloud sorgt auch im Mittelstand für schnellere und effizientere Abläufe. Gleichzeitig wird durch die Digitalisierung die Verwaltung betrieblicher Systeme und Informationen zunehmend komplexer. Mit jeder weiteren Zugriffsmöglichkeit steigt die Bedrohung durch Cyberangriffe. Software-as-a-Service-Plattformen bieten gerade für Unternehmen ohne große IT-Ressourcen praktische, sichere und bezahlbare Lösungen.
