Der Trend zu unterschiedlichsten Endgeräten am Arbeitsplatz – meistens noch vom Mitarbeiter selbst mitgebracht (BYOD, Bring your own Device) –, geografisch verteilte Teams und allgegenwärtige Soziale Netzwerke wie Facebook, Xing oder Google+ haben allesamt dramatische Auswirkungen auf die Art und Weise, wie Menschen Unternehmensinformationen austauschen. Daraus resultieren ernsthafte Bedenken rund um das Thema Datensicherheit. Offensichtlich zurecht: Identity- und Access-Management-Prozessen sind wohl unzureichend auf die Bedürfnisse der Mitarbeiter abgestimmt, ergab eine Umfrage des Marktforchhungsunternehmen Vanson Bourne hat im Auftrag von Quest Software (jetzt Teil von Dell).

Vor allem stellte sich heraus, dass die aktuellen Security-Richtlinien in Unternehmen meist nicht ausreichen, um geschäftskritische Informationen zu schützen. Darüber hinaus zeigte die Umfrage unter 175 CIOs in UK, Frankreich und Deutschland, dass 65 Prozent der europäischen CIOs der Meinung sind, die Mitarbeiter würden Daten mit der jeweils schnellsten und einfachsten Methode austauschen, dabei aber regelmäßig die IT-Richtlinien umgehen und so nur wenig Verantwortungsbewusstsein für den Schutz unternehmenskritischer Daten an den Tag legen.

Identity- und Access-Management bekommt 2013 mehr Priorität

69 Prozent glauben zudem, dass Organisationen und deren Mitarbeiter mehr Verantwortung für Austausch, Speicherung und Management von Unternehmensdaten übernehmen müssen. Aufgrund der immensen Risiken für die Sicherheit, Finanzen und Reputation durch Informationsverlust hat das Thema Identity- und Access-Management für 76 Prozent der Befragten im Jahr 2013 Priorität.

Quest hat das Problem erkannt und bietet Best-Practices für die folgenden Sicherheitsprobleme an:
? Zunehmende Sicherheitslücken: Die europäischen CIOs gaben an, dass Personaldaten (42 Prozent), Kundendaten (33 Prozent) und HR-Informationen (31 Prozent) zu den am häufigsten, über Social-Networks und Seiten von Drittanbietern (beispielsweise Dropbox ausgetauschten, Informationen gehören. In den vergangenen zwölf bis 18 Monaten hätten ineffektives Identity- und Access-Management dazu geführt, dass Personaldaten (30 Prozent), Kundendaten (25 Prozent) und Finanzinformationen (23 Prozent) das Unternehmen verlassen haben und für Unbefugte zugänglich gemacht wurden. Von den Unternehmen mit Datenleck gaben 33 Prozent an, dadurch Kundenvertrauen verloren zu haben. Rund ein Drittel (32 Prozent) waren der Meinung, die Reputation ihres Unternehmens habe darunter gelitten.
? Weniger Produktivität: 98 Prozent der CIOs stimmten auch zu, dass mangelhaftes Identity-und Access-Management dazu führt, dass die Mitarbeiter bestimmte Seiten von Drittanbietern als »Workarounds« für die Speicherung und den Austausch von Informationen verwenden. Das kann sich wiederum negativ auf die Zusammenarbeit und Produktivität auswirken. Jeder dritte CIO (31 Prozent) gab an, dass ihre Mitarbeiter in den vergangenen Monaten für längere Zeit keinen Zugriff auf die für ihre Aufgabe benötigten Informationen hatten.
? Absicherung von Systemen: Eine Mehrzahl der befragten Teilnehmer (62 Prozent) war in den vergangenen zwölf Monaten ansteigendem Druck ausgesetzt, um die Unternehmensdaten zu schützen. Das galt besonders vor dem Hintergrund der kritischen Berichterstattung in den Medien zum Thema Verlust von Unternehmensdaten. Der stärkste Druck in Organisationen kommt dabei von der internen Rechtsabteilung (41 Prozent), den CEOs (40 Prozent) und den Behörden (33 Prozent).

Quest verweist darauf, dass Lösungen wie beispielsweise ihre »One Identity Solutions« über ein komplettes Set an Funktionalitäten verfügen. Sie würden ferner eine umfassende Kontrolle für die volle Bandbreite an Sicherheitsproblemen aufgrund der flexiblen und modularen Architektur bieten. Gleichzeitig sollen sie effektiv geschäftskritische Risiken durch mangelhafte Praktiken beim Identity- und Access-Management vermeiden. Quest hat ihre Identiy-Lösungen erst im Herbst 2011 durch die Übernahme von Bitkoo technologisch verstärkt

Einfache umzusetzende Best-Practice-Richtlinien für CIOs

Die folgenden relativ einfachen Best-Practice-Richtlinien unterstützen CIOs nach Meinung von Quest nachhaltig:
? Mehr Aufklärung: Viele aktuelle IT-Security-Bedrohungen können durch Aufklärung, Sorgfalt und technologiegestützte Prozesse verhindert werden. Stetig wechselnde sichere Passwörter helfen zudem, das Risiko weiter zu minimieren.
? Umsetzung einer »Least Privilege«-Security-Strategie: Jeder Mitarbeiter erhält nur jene Rechte, die er unbedingt zur Erfüllung seiner Aufgaben braucht. Ändert ein Mitarbeiter seine Rolle, sollten nicht erforderliche Zugriffsrechte widerrufen werden.
? Einführung einer Richtlinie zur Nachverfolgung von Zugriffen: Es empfiehlt sich, regelmäßige und automatisierte Benachrichtigungen zu nutzen, um zwei oder mehr Administratoren auf Zugriffsänderungen, Mitarbeiterwechsel oder andere kritische Sachverhalte aufmerksam zu machen.
? Compliance einhalten: Praktiken und Technologien für Zugangskontrollen und Aufgabentrennung (»Separation of Duties«) sollten implementiert werden. Ferner hilft es, sichere Richtlinien zu entwickeln und für den gesamten Systemzugriff zu implementieren.

Bis zu 2,7 Mio. Euro an entgangenen Einkünften und Strafen

»Die CIOs in Europa gehen davon aus, dass die mangelhafte Absicherung von Kundendaten bis zu 2,7 Millionen Euro an entgangenen Einkünften und Strafen kostet. Weitaus schlimmer ist jedoch der Schaden für die Reputation eines Unternehmens«, erklärt Phil Allen, Spezialist für Informationssicherheit (EMEA) bei Quest Software. »Security-Systeme werden nicht mit Blick auf technisch versierte Mitarbeiter implementiert. Die Nutzer wählen gern den jeweils einfachsten Weg, um Unternehmensdaten auszutauschen. Die Konsequenzen bleiben oftmals unbedacht.«

Die Frage werde zunehmend laut Allen diskutiert, ob Mitarbeiter in Zukunft vertraglich für Datenschutzverstöße im Unternehmen haftbar sein werden: »CIOs müssen die Art und Weise neu überdenken, wie den Mitarbeitern Services und Tools zur Verfügung gestellt werden. Das ist erforderlich, um besseren Service anzubieten, der sowohl die Anforderungen der Endnutzer als auch des Unternehmens erfüllt, ohne unnötige Risiken zu eröffnen. Zudem müssen die IT-Führungskräfte die Mitarbeiter verstärkt über die Risiken aufklären, die mit dem Austausch von Unternehmensdaten über schlecht gesicherte Kanäle einhergeht.«

KuppingerCole: Geschäftspartner wollen eingegliedert werden

Für Martin Kuppinger, Gründer und Principal Analyst des Beratungshauses KuppingerCole, werde deshalb Identity- und Access-Management (IAM) und Identity-Access-Governance (IAG) in den nächsten Jahren zu einem der am schnellsten wachsenden Bereiche: »Das liegt daran, dass CIOs weiter danach streben, Compliance zu erreichen, um das Unternehmen keinen unnötigen Risiken auszusetzen, wenn sie die Infrastruktur um Cloud und Mobile Computing erweitern. Die ebenfalls gestiegene Nachfrage, auch Geschäftspartner einzugliedern, macht eine agile IAM/IAG-Infrastruktur notwendig.«

Nach Meinung von Kuppinger gewährleiste solch eine Infrastruktur eine sofortige Handlungsbereitschaft, wenn Auditoren jenen Unternehmen einen Riegel vorschieben, die ihre Unternehmensdaten nicht im vollen Umfang abgesichert haben: »Wenn Unternehmen dann keine Strategie bezüglich IAM/IAG haben, kann das negative Folgen haben, egal wie groß oder klein ein Vorfall ist.«

.