Sie sind hier: Home » Markt » Hintergrund

Benutzerknoten revisionssicher dokumentieren


Einhaltung von Compliance-Vorgaben: Manuelle Kontrolle inaktiver Benutzerkonten schützt vertrauliche und unternehmenskritische Daten nicht vor Missbrauch
Datenklau durch missbräuchlich genutzte Benutzerkonten - Gefahr durch Schlummerkonten und Diebstahl digitaler Identitäten unterschätzt

(21.05.08) - Mitarbeiter des eigenen Unternehmens gehören zu den größten Sicherheitsrisiken: Dies hat jetzt eine aktuelle Studie von McAfee und ICM Research bestätigt. econet, Provisioning-Experte für serviceorientiertes Identitätsmanagement, warnt in diesem Zusammenhang vor den Gefahren, die durch einen sorglosen Umgang mit Benutzerkonten und deren Zugriffsrechten entstehen können.

Ein besonders hohes Sicherheitsrisiko seien unbefugte Zugriffe auf Unternehmensdaten über Konten abwesender Mitarbeiter, so econet. In hohem Maße gefährdet sind dabei die Unternehmen, die ihre Benutzerkonten mit manuellen Verfahren kontrollieren. Zum Schutz vertraulicher und unternehmenskritischer Daten empfiehlt das Münchner Unternehmen econet den Einsatz einer automatisierten Provisioning-Lösung, mit der digitale Identitäten und ihre Zugangsberechtigungen von zentraler Stelle aus verwaltet und einfach temporär gesperrt und frei gegeben werden können.

Viele Unternehmen unterschätzen die Gefahr von Datendiebstahl: Nicht nur die so genannten Schlummerkonten - Konten von ehemaligen Mitarbeitern, die noch nicht gelöscht wurden - sondern auch Accounts von Anwendern, die urlaubs- oder krankheitsbedingt fehlen, können dabei zur Einstiegsschleuse für Datendiebe werden. So glauben viele Unternehmen, dass eine regelmäßige Überprüfung von Benutzerkonten auf deren Aktivität vor Missbrauch bewahre.

Weit gefehlt: "Oft wird übersehen, dass ein aktives Benutzerkonto eine Gefahr darstellen kann, denn es ist nicht gewährleistet, dass der rechtmäßige User selbst auf die für ihn freigegebenen Daten zugreift. Im Gegenteil: Ist dieser eine Zeit lang abwesend oder bereits aus dem Unternehmen ausgeschieden, können seine Zugriffsberechtigungen von anderen genutzt und für unlautere Zwecke missbraucht werden", erklärt Max Peter, CEO und Vorstandsvorsitzender der econet AG. "Manuelle Kontrollen, die nur darauf ausgelegt sind, inaktive Konten aufzuspüren, werden die von Datendieben gekaperten Accounts nicht entdecken können. Der Dieb mit einer gestohlenen digitalen Identität kann also ungehemmt weiter in internen Daten stöbern."

Um diesem Problem von vornherein entgegenzuwirken, sollten Unternehmen daher Benutzerkonten für alle Mitarbeiter zentral verwalten. Dies ist mit einem serviceorientierten Identity und Access Management zu bewerkstelligen. Scheidet ein Mitarbeiter aus, lässt sich ein De-Provisioning-Prozess aktivieren, wobei sein Benutzerkonto und sämtliche Zugriffsberechtigungen automatisch gesperrt und nach einem vorab definierten Zeitraum endgültig gelöscht werden. So können auch temporäre Fehlzeiten wie Urlaub, Krankheit oder Mutterschutz ohne großen administrativen Aufwand abgedeckt werden.

Der Bonus: Das System dokumentiert die Verwaltung der digitalen Identitäten revisionssicher, macht Vergabe und Entzug von Zugriffsberechtigungen nachvollziehbar und garantiert so die Einhaltung von Compliance-Vorgaben. (econet: ra)


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hintergrund

  • Insider-Risiken bleiben relevant

    Die unermüdliche Weiterentwicklung Künstlicher Intelligenz beschleunigt die Evolution bestehender Betrugsszenarien. In unserem Tagesgeschäft - der Betrugsprävention - beobachten wir besonders im E-Commerce neue Herausforderungen, die differenziert betrachtet werden müssen.

  • Leben ohne Digitalzwang

    Menschen, die auf bestimmte Dienstleistungen im Alltag angewiesen sind, haben einen Anspruch darauf, diese auch analog nutzen zu können. Dies ist das Kernergebnis des Rechtsgutachtens, das am 11.12.2024 auf Initiative des Vereins Digitalcourage vom Netzwerk Datenschutzexpertise vorgelegt wurde.

  • DORA am 17. Januar 2025 in Kraft

    Mit Blick auf das Jahr 2025 sticht ein Element bei der Einführung und Weiterentwicklung generativer künstlicher Intelligenz (KI) hervor: die Datensicherheit. Da generative KI-Modelle riesige Datenmengen benötigen, um zu lernen und Inhalte zu generieren, wird die Gewährleistung des Datenschutzes, der Vertraulichkeit und der Integrität dieser Daten von größter Bedeutung sein.

  • Schutz der privaten Sparer

    Seit über 45 Jahren gibt es den Einlagensicherungsfonds der privaten Banken. Seitdem sichert er zuverlässig die Guthaben der Sparerinnen und Sparer ab, falls es zum Entschädigungsfall kommt. Klar ist jedoch, dass selbst ein funktionierendes System regelmäßig auf den Prüfstand gestellt und zur Verbesserung gegebenenfalls angepasst werden muss.

  • Verschiebung der Einreichfrist

    Die Europäischen Aufsichtsbehörden (ESAs) haben eine Verschiebung der Einreichfrist der Informationsregister auf 30. April 2025 bekanntgegeben (Quelle: The ESAs announce timeline to collect information for the designation of critical ICT third-party service providers under the Digital Operational Resilience Act | European Banking Authority). Grund dafür ist u. a. die Verzögerung bei der Finalisierung der technischen Implementierungsstandards (ITS).

In Stellenanzeigen oft Verstöße gegen das AGG Nachfrage nach Risikomanagement-Lösungen

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen