Große Gefahr geht von Administratoren aus

Sicherheitsrisiko Ex-Mitarbeiter

12. Juni 2009
Thomas Pelkmann ist freier Journalist in Köln.
Mitarbeiterentlassungen erhöhen das Risiko des Datendiebstahls. Acht vorbeugende Maßnahmen, mit denen Sie entscheidende Sicherheitslücken in Ihrem Unternehmen schließen können.

Wenn Mitarbeiter in Unfrieden gehen, ist das nie angenehm. Wer vermeiden möchte, dass nach einer Entlassung künftige Ex-Mitarbeiter großen Schaden an der Firmen-EDV anrichten, solange sie im Unternehmen noch die Chance dazu haben, sollte die folgenden Sicherheitstipps beachten.

Ein erhebliches Sicherheitsrisiko geht besonders von privilegierten Accounts aus, wie Administratoren sie besitzen: In der Regel sind die Passwörter dieser bevorzugt behandelten Benutzer der Generalschlüssel zu allen unternehmenskritischen Datenbeständen.

Häufig sind diese IT-Systeme aber mit identischen und zudem leicht zu entschlüsselnden Passwörter, die zudem selten bis nie geändert werden, nur sehr unzureichend geschützt. Der Grund ist einfach: Die Neuvergabe von Zugangsberechtigungen ist wahlweise umständlich bis lästig, auf jeden Fall aber mit Arbeit verbunden.

Darüber hinaus hat oft eine größere Gruppe von Administratoren gleichzeitigen Zugriff auf Shared-Account-Passwörter. Zu überprüfen, wer wann warum was gemacht, ist damit nicht nur im Schadensfalle nahezu unmöglich.

Jochen Koehler, Deutschland-Chef von Cyber-Ark in Heilbronn warnt: "Viele Unternehmen ergreifen nach wie vor unzureichende Security-Maßnahmen im Bereich der privilegierten Accounts. Nur durch die Einführung einer Lösung, mit der administrative Accounts automatisch verwaltet, geändert und überwacht werden, kann die Gefahr des Datenmissbrauchs und -diebstahls in diesem Bereich zuverlässig ausgeschlossen werden."

Acht Tipps zum Schutz sensibler Daten

Erstens: Die Berücksichtigung privilegierter Accounts muss integraler Bestandteil bei der Umsetzung jedes Security- oder Identity-Management-Projektes sein.

Zweitens: Schlüssel-Systeme, -Applikationen und -Datenbanken müssen identifiziert werden - einschließlich der vorhandenen privilegierten Zugänge.

Drittens: Es muss untersucht, wer genau Zugang zu privilegierten Accounts hat. Es folgt dann eine genaue Definition derjenigen, die zukünftig Zugang haben sollen.

Viertens: Es ist erforderlich, eine umfassende Security-Policy im Hinblick auf privilegierte Accounts zu entwickeln, festzuschreiben und umzusetzen.

Fünftens: Die technische Realisierung muss auf jeden Fall Verschlüsselung, Passwort-Schutz und Überwachung der Systemzugriffe umfassen.

Sechstens: Es ist sicherzustellen, dass administrative Passwörter regelmäßig geändert und vor unberechtigtem Zugriff geschützt werden. Die Passwortnutzung muss zudem revisionssicher protokolliert werden.

Siebtens: Jedes Unternehmen muss eine Lösung implementieren, die dabei hilft, die privilegierten Accounts automatisch - und nicht manuell - zu verwalten.

Achtens: Die tatsächliche Einhaltung der gesamten Security-Policy unter besonderer Berücksichtung der definierten Regeln für privilegierte Accounts unterliegt der Überprüfung und Überwachung.

Zur Startseite