5 Minuten Lesezeit 17 September 2021
Digitaler Fingerabdruck

Haben Sie Ihre digitalen Zugriffe im Griff?

Autoren
Matthias Bandemer

Leiter Cybersecurity, Ernst & Young GmbH Wirtschaftsprüfungsgesellschaft | Deutschland

Ist Experte für die Cybersecurity und den Datenschutz – und damit als erfahrener Berater so gefragt wie nie.

Ulrike van Venrooy

Associate Partner Cybersecurity, Ernst & Young GmbH Wirtschaftsprüfungsgesellschaft | Deutschland

Erfahrene Cybersecurity Spezialistin. Hilft den Kunden von EY, Lücken aufzudecken und Risiken zu minimieren.

5 Minuten Lesezeit 17 September 2021

Die digitale Welt birgt Gefahren für Mittelständler. Pragmatische Lösungen funktionieren auch ohne große IT-Abteilung.

Überblick
  • Die digitale Vernetzung von Geschäftsprozessen und die Verlagerung von Anwendungen in die Cloud verlangen neue IT-Sicherheitslösungen.
  • Mittelständler verfügen oft nicht in gleichem Maße über IT-Ressourcen wie Großkonzerne, sind aber ebenso bedroht und häufig an deren Vorgaben gebunden.
  • Das zuverlässige Management von Identitäten und deren Zugriffen ist ein wichtiger Baustein der Sicherheitsarchitektur
  • Software-as-a-Service-Plattformen sind eine Lösung für das Management von Identitäten und Zugriffen.

Die Digitalisierung ermöglicht auch in mittelständischen Unternehmen schnellere, effizientere und einfachere Abläufe. Partner, Systeme und Maschinen sind über Unternehmensgrenzen hinweg vernetzt. Die Verlagerung von Anwendungen in die Cloud oder der Einsatz von Robotics gehören zum Produktionsalltag. Mit jeder Schnittstelle, jeder weiteren Zugriffsmöglichkeit steigt jedoch die Bedrohung durch Cyberangriffe. Für IT-Sicherheitsexperten ist ein Hackerangriff keine Frage des ‚Ob‘, sondern nur noch des ‚Wann‘. Für professionell agierende Cyberkriminelle ist jedes Unternehmen ein interessantes Ziel. Häufig brauchen sie nicht lange, eine offene Tür zu finden. Für Mittelständler ist das eine heikle Situation. Nur wenige verfügen über große IT-Abteilungen und strukturierter Prozesse zur Cyberabwehr. Doch es gibt auch für kleinere Unternehmen pragmatische Lösungen, ungebetenen Eindringlingen die Türen zu verschließen.

Mit der fortschreitenden Vernetzung und Automatisierung steigt die Komplexität, vor allem in der Verwaltung betrieblicher Systeme und Informationen und den Zugriffen darauf. Kunden, Lieferanten und Dienstleister erhalten Zugang zum Unternehmensnetzwerk. Maschinen und Systeme kommunizieren direkt miteinander — ohne menschliches Zutun.

Für IT-Sicherheitsexperten ist ein Hackerangriff keine Frage des ‚Ob‘, sondern nur noch des ‚Wann‘. Für professionell agierende Cyberkriminelle ist jedes Unternehmen ein interessantes Ziel. 

Für einen reibungslosen Ablauf im Unternehmen ist es wichtig, dass jeder Mitarbeitende, jeder Partner und jedes System zum richtigen Zeitpunkt Zugriff auf die benötigten Informationen und Prozesse hat. Neue Mitarbeitende oder auch Zeitarbeitskräfte sollen möglichst ab dem ersten Tag arbeitsfähig sein und nicht wochenlang auf die Freigaben der benötigten Zugriffe warten müssen. Der externe Dienstleister soll zügig in das Projekt einsteigen und der Händler pünktlich liefern können. Und so genügt meist die Unterschrift des Projektverantwortlichen oder Vorgesetzten, und der Zugriff wird freigeschaltet. Verlassen Mitarbeitende oder Externe das Unternehmen oder verändern sie ihr Aufgabengebiet ist es aus Sicherheitsgründen extrem wichtig, die erteilten Zugriffe zeitnah zu entziehen beziehungsweise der neuen Tätigkeit anzupassen. Ein Ablauf, der in vielen Organisationen oftmals vernachlässigt wird.

Auch in kleineren Betrieben wird die IT-Infrastruktur mit jedem Tag komplexer, da viele Firmen ihre Anwendungen aus der Cloud beziehen oder die benötigten Services direkt vom Hersteller kaufen. Jeder zusätzliche Dienst ist ein potenzielles Einfallstor in die firmeneigene IT-Infrastruktur. Nicht selten nutzen auch mittelständische Unternehmen bis zu 50 verschiedene Applikationen. Multipliziert man die Anzahl der digitalen Tools mit den Mitarbeitenden, wird es schnell unübersichtlich. Es wird schwerer zu überblicken, wer alles Zugang zu den Systemen und den darin vorgehaltenen Informationen hat. Oft findet zudem keine Verifizierung statt – es wird nicht geprüft, ob Zugreifende wirklich die- oder derjenige ist, die sie oder er vorgibt zu sein. Das ist, als würde man seinen Haustürschlüssel einfach Fremden überlassen. Man weiß nicht mehr, wer Gast im eigenen Haus ist. Vor allem, weil es an Prozessen mangelt, einmal erteilte Zugriffe auch wieder zu entziehen. Was fehlt, ist eine regelmäßige Inventur.

Es wird schwerer zu überblicken, wer alles Zugang zu den Systemen hat. Oft findet zudem keine Verifizierung statt – es wird nicht geprüft, ob Zugreifende wirklich die- oder derjenige ist, die sie oder er vorgibt zu sein. Das ist, als würde man seinen Haustürschlüssel einfach Fremden überlassen. Man weiß nicht mehr, wer Gast im eigenen Haus ist.

Und so kommt es immer wieder vor, dass ehemalige Mitarbeitende – inzwischen bei der Konkurrenz angestellt – noch immer vollen Zugriff auf die Systeme ihres ehemaligen Arbeitgebers haben. Ebenso externe Dienstleister oder Lieferanten, obwohl ihre Verträge ausgelaufen oder die Projekte beendet sind. Praktikanten haben häufig nach dem Durchlaufen diverser Stationen im Unternehmen die meisten Rechte gesammelt. Viele Zugriffe im System können niemandem mehr zugeordnet werden –  wie tote Briefkästen, in denen der Haustürschlüssel liegt.

Mittelstand als attraktives Ziel für Cyberkriminelle

In den dunklen Ecken des Internet gibt es einen regelrechten Schwarzmarkt für digitale Identitäten und deren Credentials. Über diese internen Benutzerkonten gelangen die Hacker wie über eine offene Hintertür ins Haus und verschlüsseln so wichtige Informationen mit Ransomware. Nichts geht mehr. Die Bildschirme bleiben schwarz, der Internetauftritt ist verschwunden, die Produktion lahmgelegt. Die Angreifer fordern meist ein Lösegeld. Doch selbst wer zahlt, hat keine Garantie für die Wiederherstellung seiner Daten.

Mittelständische Unternehmen sind mithin den gleichen Risiken ausgesetzt wie Großkonzerne. Als Zulieferer sind sie meist an die Sicherheitsvorgaben ihrer Kunden gebunden. Nur können sie Angreifern nicht mit der gleichen Schlagkraft entgegentreten. Eine Identitäts-Management-Lösung im Betrieb einzuführen, bindet nicht nur eine Vollzeitkraft. Wer nicht über die nötige Expertise verfügt, wird zudem feststellen, dass geschultes Personal Mangelware ist. Erschwerend kommt hinzu, dass Maßnahmen für mehr IT-Sicherheit keinen sichtbaren Mehrwert bieten. Wer kann schon berechnen, welche Kosten dem Unternehmen durch sicherere Systeme erspart geblieben sind?

Download: EY Broschüre zum Thema „Digitale Identitäten“

Wie Software-as-a-Service-Plattformen insbesondere für den Mittelstand eine Lösung darstellen können.

Jetzt herunterladen

Software-as-a-Service-Lösungen für das Management von Identitäten und Berechtigungen

Eine lückenlose Überwachung aller Zugänge ist für kleine IT-Abteilungen ohne Hilfe kaum zu bewältigen. Um mit begrenztem Personal den eskalierenden Sicherheits- und  Datenschutzanforderungen gerecht zu werden, gibt es standardisierte und automatisierte Software-as-a-Service-Lösungen (SaaS). Hiermit können Mitarbeitende etwa ihre Passwörter selbst vergeben und ändern. Neue Kollegen melden sich im Portal an und sehen sofort, welche Zugriffe auf welche Systeme sie benötigen. Diese stellen sie sich wie in einem digitalen Einkaufskorb zusammen und schicken es an den Vorgesetzten zur Prüfung. Nach dessen Freigabe ist der Mitarbeitende sofort arbeitsfähig. 

Um mit begrenztem Personal den eskalierenden Datenschutzanforderungen gerecht zu werden, gibt es standardisierte und automatisierte Software-as-a-Service-Lösungen (SaaS).

Im Idealfall ist die SaaS-Lösung an die Software der Personalabteilung angebunden und erteilt dem Projektleiter, dem Teamassistenten und dem Praktikanten automatisch Zugangsrechte gemäß ihrer Funktion. Scheiden Mitarbeitende aus oder ist ein Projekt beendet, werden die Rechte automatisch wieder entzogen. Ähnlich funktioniert das System bei Lieferanten oder externen Dienstleistern. Die Nutzeridentitäten werden in einer Datenbank an bestehende Aufträge gekoppelt. Sind diese erledigt, werden die Zugriffe automatisch wieder entzogen.

SaaS-Lösungen ermöglichen der IT-Abteilung eine Echtzeit-Übersicht aller Zugriffsberechtigungen. Die IT-Experten müssen sich nicht länger mit Anfragen zu vergessenen Passwörtern und dem Einrichten von Zugängen beschäftigen. Die cloudbasierten Tools ersparen zudem den Betrieb im eigenen Rechenzentrum. Der Kunde muss sich weder um die fortlaufende Erneuerung überholter Hardware noch um Updates kümmern.

Identitäts-Management-Systeme können komplett automatisiert laufen. Voraussetzung ist, dass alle Prozesse davor von Lohnbuchhaltung über die Produktionssteuerung bis zur Lieferantendatenbank automatisiert sind. Das ist oft nicht der Fall, weshalb viele Unternehmen Schritt für Schritt vorgehen. Zunächst werden alle neuen Anwendungen – meist in der Cloud – an das Identitäts-Management-System angebunden. Im Zuge der fortschreitenden Digitalisierung folgen dann sukzessive alle übrigen Kernapplikationen.

SaaS-Lösungen bringen viele Annehmlichkeiten. Sie entlasten die IT-Mitarbeitenden, damit diese sich auf wesentliche Arbeiten konzentrieren können. Erste Ergebnisse sind dank standardisierter Prozesse schnell sichtbar. Einen hundertprozentigen Schutz gegen Cyberattacken gibt es nicht. Aber auch Mittelständler mit begrenzten Ressourcen können es Hackern sehr schwer machen.

  • Co-Autor: Fabian Peters

    Fabian Peters ist Senior Manager im Bereich Technology Consulting. Seine Schwerpunkte sind Identity & Access Management, Regulatory Compliance und Risikomanagement. Zu seinen Kunden zählen globale wie nationale Unternehmen aus den Sektoren Mobility, Banking & Capital Markets sowie Public Sector.

Fazit

Die Vernetzung von Geschäftsprozessen, Produktion und Partnern, der Einsatz von Robotics und die Verlagerung von Anwendungen in die Cloud sorgt auch im Mittelstand für schnellere und effizientere Abläufe. Gleichzeitig wird durch die Digitalisierung die Verwaltung betrieblicher Systeme und Informationen zunehmend komplexer. Mit jeder weiteren Zugriffsmöglichkeit steigt die Bedrohung durch Cyberangriffe. Software-as-a-Service-Plattformen bieten gerade für Unternehmen ohne große IT-Ressourcen praktische, sichere und bezahlbare Lösungen.

Über diesen Artikel

Autoren
Matthias Bandemer

Leiter Cybersecurity, Ernst & Young GmbH Wirtschaftsprüfungsgesellschaft | Deutschland

Ist Experte für die Cybersecurity und den Datenschutz – und damit als erfahrener Berater so gefragt wie nie.

Ulrike van Venrooy

Associate Partner Cybersecurity, Ernst & Young GmbH Wirtschaftsprüfungsgesellschaft | Deutschland

Erfahrene Cybersecurity Spezialistin. Hilft den Kunden von EY, Lücken aufzudecken und Risiken zu minimieren.