Datenschutzverletzungen vermeiden ist ein dringendes Anliegen, da Datenschutzverletzungen nichts Neues sind , seitdem große Unternehmen wie Yahoo, Samsung und sogar das US-Justizministerium in den Schlagzeilen stehen. Viele denken deshalb, dass nur größere Firmen gefährdet sind oder zumindest am meisten zu verlieren haben. Doch das ist leider ein fataler Trugschluss!
Jede Organisation ist anfällig für Datenschutzverletzungen und mit immer strikteren Compliance-Gesetzen sind die Konsequenzen von Informationslecks weitaus umfangreicher. Nicht nur die Daten sind verloren, ungewollt öffentlich oder müssen für teures Lösegeld zurückgekauft werden. Insbesondere die neue EU-DSGVO (Datenschutzgrundverordnung, auch General Data Protection Regulation (GDPR) genannt), die im Mai 2018 in Kraft tritt, sieht zusätzlich empfindliche Geldstrafen bis zu 20 Millionen Euro vor, wenn der Datenschutz nicht ausreichend gewährleistet ist. Wer also Datensicherheit garantieren muss und möchte, der kommt nicht umhin seine Identity-Access-Management-Strategie an Compliance-Richtlinien anzupassen.
Unterschätztes Risiko: interne Datenschutzverletzungen
Und die neuen Compliance-Richtlinien der DSGVO sind nicht unverhältnismäßig oder ohne Grund strikt. Sie berühren nur einen bisher oft übersehenen Bereich des Datenschutzes: internes Berechtigungsmanagement. Bislang machen sich kleine und mittlere Unternehmen fast ausschließlich über Hackerangriffe von außen Sorgen. Die meisten KMU sind völlig überrumpelt, wenn die Datenschutzverletzung aus dem Unternehmen selbst kommt. Entweder haben derzeitige Mitarbeiter zu umfangreiche Zugriffsrechte oder, weitaus häufiger, haben ehemalige Mitarbeiter noch Zugang zu Programmen und Daten, den sie nach Austritt aus dem Unternehmen nicht haben sollten. Der Grund dafür ist so banal wie folgenschwer: wegen nicht-standardisierter Prozesse wird schlichtweg vergessen, die Information über die Kündigung an die IT weiterzuleiten, sodass auch nach dem Ende des Arbeitsverhältnisses der Benutzer-Account mit allen Filesystem-Zugriffsrechten, Windows-Berechtigungen oder NTFS-Rechten weiterbesteht.
Das ist nicht nur wegen überflüssiger Lizenzen für teure Programme unwirtschaftlich, sondern vor allem aus Datenschutzsicht ein Super-GAU. Denn hat ein ehemaliger Mitarbeiter Lese- oder sogar Schreibrechte auf sensible Daten wie Zahlungsinformationen von Kunden oder Gesundheitsdaten von Mitarbeitern, ist der Geldverlust und nicht zuletzt auch der Imageschaden, der durch einen Datenraub entstehen könnte, kaum abzuschätzen. Deshalb sollte jedes Unternehmen im Zuge der kommenden DSGVO insbesondere ein Augenmerk auf ihr Berechtigungsmanagement innerhalb der Identity-Access-Management-Strategie legen.
Berechtigungsmanagement für Compliance und Audit
Datenschutzverletzungen treten auf, wenn es eine schwache Netzwerksicherheitsstruktur innerhalb einer Organisation gibt, insbesondere wenn es darum geht, Zugriffe und Berechtigungen zuzuweisen und wieder zu entziehen. Die zwei wesentlichen Merkmale einer guten Berechtigungsstruktur sind Transparenz und Kontrolle, also zu wissen und zu verwalten, wer Zugriff worauf hat. Dies hilft auch bzw. ist nötig, wenn es darum geht, Audits zu bestehen und compliance-konform zu arbeiten. So können mit relativ unaufwendigen und kostengünstigen Maßnahmen wie einem Berechtigungsmanagement-Tool, größere Geldstrafen verhindert und der Ruf Ihres Unternehmens geschützt werden.
Der Enterprise Resource Authorization Manager (ERAM) von Tools4ever ermöglicht es Unternehmen, die NTFS-Berechtigungen auszulesen. All diese Berechtigungen manuell über die Windowsfunktionen zu verwalten, ist unglaublich aufwendig, zeitraubend und frustrierend. ERAM erstellt einmalig eine vollständige Datenbank mit allen Filesystem-Zugriffsinformationen und aktualisiert diese regelmäßig im laufenden System. So können Sie systemweit alle NTFS-Berechtigungen in ein übersichtliches Reporting auslesen und die Zugriffskontrolle über unstrukturierte Daten zurückgewinnen, vereinfachen und optimieren. Mit einem Klick sehen Sie, wer Zugriff hat, wer Zugriff haben sollte, wer Daten besitzt und wo diese sensiblen Daten gespeichert werden. Durch On-Demand NTFS Permissions Reporting haben Sie immer auch eine Live-Übersicht der vergebenen und genutzten Zugriffsrechte auf Netzwerkkonten und Dateisysteme, um ungenutzte Berechtigungen unkompliziert zu entziehen.
Sicherheit durch Transparenz und Kontrolle
Durch die Reportings mit ERAM erhalten Sie die Transparenz und Kontrolle über Ihre Filesystem-Berechtigungen, die Sie für Audits und Compliance-Richtlinien benötigen. Die Umsetzung Ihrer Identity-Access-Management-Strategie wird viel einfacher, da Sie mit ERAM sicherstellen können, dass die Zugriffsrechte von Anfang an korrekt eingerichtet sind. Wenn Sie nun durch die Benennung eines Datenschutzbeauftragten – der übrigens in der DSGVO für viele Unternehmen vorgeschrieben wird – noch dafür sorgen, dass sich jemand regelmäßig um die Überprüfung der NTFS-Berechtigungen kümmert, ist interne Datenschutzverletzung für Sie kein großes Thema mehr. Mit einem Workflow ließen sich übrigens Berechtigungen bzw. ganze Accounts von ausgeschiedenen Mitarbeitern automatisch durch den zuständigen Vorgesetzten oder die HR-Abteilung sperren.
Werden Sie nicht zum Opfer, sehen Sie es als Pflicht: Datenschutzverletzungen zu vermeiden. Wenn Sie die Kontrolle über Ihre strukturierten und unstrukturierten Daten übernehmen und für klare Prozesse und Verfahren sorgen, ist die Sicherheit Ihrer sensiblen Daten kein Problem mehr. Wir helfen Ihnen gerne dabei!
Geschrieben von:
Nadine Jackes
Consultant Support & Customizing
Nadine Jackes ist nach ihrem Studium der Medieninformatik am b.i.b International College als Consultant bei Tools4ever zuständig für den Bereich Support & Customizing. Sie ist Ihr Ansprechpartner zum Thema Datensicherheit, Implementierung und Support.