Wo der Rechtemissbrauch stattfindet


Studie belegt: Mitarbeiter suchen aktiv nach sensiblen Informationen, die nicht für sie bestimmt sind
92 Prozent der Befragten räumen ein, dass Mitarbeiter versuchen auf Informationen zuzugreifen, die sie nicht brauchen, um ihre tägliche Arbeit zu erledigen



One Identity hat in einer globalen Studie herausgefunden, dass eine überwältigende Mehrzahl von Beschäftigten bewusst nach Informationen sucht, auf die sie nicht zugreifen dürften. Die Resultate legen nahe: Unternehmen haben in dieser Hinsicht ein massives Problem mit ihrer eigenen Belegschaft. Die von Dimensional Research unter mehr als 900 IT-Sicherheitsexperten durchgeführte globale Studie beschäftigt sich mit Trends und Herausforderungen beim Verwalten von Zugriffsberechtigungen für Unternehmensdaten. Zu den wichtigsten Befunden gehört, dass 92 Prozent der Befragten versuchen auf Informationen zuzugreifen, die sie für ihre tägliche Arbeit nicht benötigen. Beinahe einer von vier Befragten (23 Prozent) sagte, dass dies sogar häufig der Fall sei.

Besonders alarmierend ist die Tatsache, dass gerade IT-Sicherheitsexperten selbst zu den schlechtesten Hütern von Unternehmensdaten gehören. Einer von drei Befragten räumte ein, bereits auf sensible Informationen zugegriffen zu haben. Informationen, die nicht notwendig waren um die tägliche Arbeit zu verrichten. Die Resultate sind umso erschreckender, wenn man bedenkt, dass der Missbrauch mit Hilfe von privilegierten Zugriffsberechtigungen erfolgte, die mit der Position als IT-Sicherheitsexperte verbunden sind.

Weitere Ergebnisse der Studie, die mit diesen Ergebnissen direkt in Zusammenhang stehen:

● >> Informationen zu Leistung und Erfolg des Unternehmens sind "heiße Ware": Mehr als einer von drei Befragten (36 Prozent) hat eingeräumt nach sensiblen Informationen zu Leistung und Erfolg des Unternehmens gesucht oder sogar schon darauf zugegriffen zu haben. Unabhängig davon, ob diese Informationen tatsächlich erforderlich gewesen wäre.

● >> IT-Sicherheits-Manager tragen aufgrund ihrer privilegierten Position und den damit verbundenen Zugriffsberechtigungen die größte Verantwortung: 71 Prozent von ihnen gaben zu, nach für sie nicht notwendigen Informationen zu suchen, verglichen mit lediglich 56 Prozent der Mitarbeiter außerhalb des Management-Teams. 45 Prozent der Befragten auf Management-Ebene räumten ein, gezielt nach sensiblen Unternehmens-informationen zu suchen oder bereits darauf zugegriffen zu haben. Das taten im Vergleich dazu nur 17 Prozent der Mitarbeiter in IT-Teams.

● >> Je kleiner das Unternehmen, desto mehr wird "geschnüffelt": 38 Prozent der IT-Sicherheitsexperten in Unternehmen mit 500 bis 2.000 Mitarbeitern räumten ein, aktiv nach solchen Unternehmensinformationen zu suchen, während das in Unternehmen mit mehr als 5.000 Beschäftigten nur 29 Prozent tun.

● >> Wer in Technologieunternehmen arbeitet, interessiert sich ganz besonders für sensible Informationen: 44 Prozent der Befragten, die in einem Technologieunternehmen beschäftigt sind, haben schon aktiv nach Informationen zur Unternehmensperformance gesucht, verglichen mit 36 Prozent der Befragten aus dem Finanzwesen, 31 Prozent aus der Industrie und nur 21 Prozent aus dem Gesundheitswesen.

John Milburn, President und General Manager von One Identity: "Während Insider-Bedrohungen oftmals gar nicht beabsichtigt sind, ist es offensichtlich weit verbreitet, dass Mitarbeiter sich bei Daten und Informationen einmischen, die nicht in ihren Verantwortungsbereich fallen. Und es ist gerade dieses offensichtlich weit verbreitete Phänomen, mit dem Mitarbeiter sich und die Firma in Teufels Küche bringen. Ohne übergreifende Governance der Zugriffsberechtigungen und Rechtevergaben stellen Unternehmen ihren Angestellten einen Freifahrtschein aus, nach Belieben auf sensible Informationen zuzugreifen. Dazu gehören Unternehmenszahlen, vertrauliche Kundendaten oder private Dateien der Geschäftsführung. Geraten solche Informationen in die falschen Hände, sind die Folgen immer schwerwiegend. Der Verlust von Unternehmens- und Kundendaten oder deren Offenlegung und Verstöße gegen geltende Compliance-Richtlinien sind mögliche Risiken, die unwiderruflich Schaden an Image oder Finanzkraft eines Unternehmens anrichten."

Mit Risiken beim Zugriffs- und Berechtigungsmanagement umgehen
Die veröffentlichten Resultate der One Identity Global State of IAM Study zeigen: Unternehmen halten sich zu wenig an empfohlene Praktiken, wenn es um grundlegende Maßnahmen des Identitäts- und Access-Managements geht. Was das unberechtigte Herumschnüffeln von Beschäftigten anbelangt, tragen eine Rollen-basierte Zugriffskontrolle und eine strikte Governance der Rechte und Genehmigungen dazu bei, potentiell böswillige Akteure davon abzuhalten auf vertrauliche und sensible Informationen zuzugreifen. In Bezug auf "zu neugierige" IT-Sicherheitsexperten im Besonderen können Firmen Identity Intelligence benutzen, um herauszufinden, wer über erhöhte Rechte verfügt und wo genau der Rechtemissbrauch stattfindet, um dagegen vorzugehen. Eine Methode, die insbesondere greift, wenn IT-Sicherheitsverantwortliche selbst zu denen gehören, die unbefugt auf sensible Informationen zugreifen.

Auch ein weiterer Bericht, der ebenfalls auf den Ergebnissen der Studie basiert, hat wenig Erfreuliches zu Tage gefördert. Inaktive, verwaiste Konten, die nicht gesperrt sind und so ehemaligen Mitarbeitern oder böswilligen Akteuren den Zugriff erlauben, sind keine Seltenheit. Zugriffsberechtigungen von Mitarbeitern, die innerhalb des Unternehmens die Position gewechselt oder das Unternehmen bereits verlassen haben, sind oftmals nicht auf dem aktuellen Stand und stellen ein weiteres potentielles Risiko dar.

One Identity unterstützt Unternehmen dabei, mit diesen Herausforderungen fertig zu werden und bietet eine komplette Lösungssuite für das Zugriffs- und Berechtigungsmanagement, die Identity Governance, die Verwaltung von privilegierten Konten und Identity-as-a-Service-Lösungen an.

Ziel ist es, das Identitäts- und Access-Management grundlegend richtig anzusetzen ohne die unternehmerische Flexibilität einzuschränken. Zum Thema "Get IAM right" hat One Identity zusätzlich eine Serie von Webinaren (http://bit.ly/2eSI5wi) vorbereitet.

Über die "One Identity Global State of IAM Study"
Die One Identity Global State of IAM Study basiert auf einer Online-Umfrage, die Dimensional Research unter IT-Experten durchgeführt hat, bei denen IT-Sicherheit den überwiegenden Teil ihrer professionellen Aufgaben betrifft und die zusätzlich über fundiertes IAM-Wissen verfügen. Eine breite Palette von Fragen beschäftigt sich mit den Erfahrungen und Herausforderungen in Zusammenhang mit dem Identity und Access Management. Befragt wurden dazu insgesamt 913 Personen aus den USA, Kanada, dem Vereinigten Königreich, Deutschland, Frankreich, Australien, Singapore und Hongkong.
(One Identity: ra)

eingetragen: 10.01.18
Home & Newsletterlauf: 07.02.18

One Identity: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Studien

  • Lösungsansätze gegen den GenAI-Gender Gap

    Frauen drohen bei Künstlicher Intelligenz (KI), die bis 2030 allein in Deutschland 3 Millionen Jobs verändern könnte, ins Hintertreffen zu geraten. So zeigen aktuelle Zahlen von Coursera, dass lediglich 27 Prozent der Lernenden in Generative-AI (GenAI)-Kursen in Deutschland (102.000 Einschreibungen) weiblich sind. Dies liegt noch unter dem weltweiten Durchschnitt von 32 Prozent und reicht im Ländervergleich gerade für einen Platz in den Top-Ten (Platz 9). Und das, obwohl sich allein auf Coursera im vergangenen Jahr weltweit alle 10 Sekunden jemand in einen GenAI-Kurs einschrieb.

  • Rote Linien für die zukünftige Nutzung von KI

    Laut einer aktuellen Studie von NTT Data droht eine Verantwortungslücke die durch KI möglich gewordenen Fortschritte zu untergraben. Mehr als 80 Prozent der Führungskräfte räumen ein, dass Führungsfähigkeiten, Governance und die Bereitschaft der Mitarbeitenden nicht mit den Fortschritten der KI mithalten können. Das gefährdet Investitionen, Sicherheit und das Vertrauen der Öffentlichkeit.

  • Europas Sanktionslandschaft

    Die Durchsetzung der europaweiten Datenschutz-Gesetzgebung hat einen neuen Höchststand erreicht: Erstmals überschreiten die öffentlich bekannten Bußgelder in Europa die Marke von fünf Milliarden Euro. Seit Inkrafttreten der General Data Protection Regulation (GDPR) im Mai 2018 wurden bis März 2025 insgesamt rund 5,65 Milliarden Euro an Strafen verhängt - ein Plus von 1,17 Milliarden Euro im Vergleich zum Vorjahr. Diese Rekordsumme spiegelt wider, wie stark sich die europäische Sanktionspraxis in den vergangenen Jahren entwickelt hat.

  • Absicherung unternehmerischer Entscheidungen

    Die zunehmende Regulierungsdichte mit immer neuen Vorschriften erschwert Vorständen und Aufsichtsräten die rechtliche Einschätzung unternehmerischer Entscheidungen und bremst unternehmerisches Handeln. Das Deutsche Aktieninstitut und die Anwaltskanzlei Gleiss Lutz haben die Studie "Absicherung unternehmerischer Entscheidungen - Entscheidungsfindung in unsicheren Zeiten" veröffentlicht.

  • Herausforderung: Datenschutz & geteilte Geräte

    Die Digitalisierung schreitet in der Transport- und Logistikbranche stetig voran und macht Prozesse innerhalb der Lieferkette immer transparenter und damit nachvollziehbarer. So kam die jüngste Studie "Digitale Innovationen: Was die Transport- und Logistikbranche jetzt braucht" von SOTI zu dem Ergebnis, dass sich 80 Prozent (weltweit 78 Prozent) der deutschen Arbeitnehmenden im T&L-Bereich durch die technische Nachverfolgbarkeit von Waren, für die sie im Rahmen ihrer Tätigkeit Verantwortung tragen, sicherer fühlen. Gleichzeitig empfinden jedoch 61 Prozent das Tracking dienstlicher Geräte als Eingriff in ihre Privatsphäre (weltweit 55 Prozent).

PSD2: Nicht nur Compliance, auch Innovation Führung und Organisation der Compliance

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen