Zu weit gefasste Zugriffsrechte identifizieren
Report: Schlecht verwaltete Zugriffsrechte sind potenzielle Sicherheitslücken
Dringlich: Existierende Governance-Prozesse im Hinblick auf Zugriffskontrollen erweitern
(29.05.15) - Varonis Systems verweist auf einen englischsprachigen Report mit dem Titel "Wake-Up Call: Poorly Managed Employee Access Rights Are a Breach Waiting to Happen": "Firmen unternehmen berechtigte Anstrengungen, ihre Mitarbeiter so produktiv wie möglich zu machen. Dabei übersehen aber nicht wenige dieser Unternehmen, dass sie sich dadurch unnötigen, steigenden Risiken und potenziellen Datenschutzverletzungen aussetzen. Nicht zuletzt deshalb, weil beim Zugriff auf Unternehmensdaten veraltete Methoden der Verifizierung genutzt werden. (...). Experten für Sicherheit und Risikoforschung (S&R) ist dringlich angeraten existierende Governance-Prozesse im Hinblick auf Zugriffskontrollen zu erweitern. Dazu eignen sich datenzentrierte und komplementäre Methoden, die es erlauben, bestehende Risiken besser einschätzen und intelligenter bewerten zu können." Der am 28. April 2015 veröffentlichte Report wurde von Forrester Analyst Merritt Maxim verfasst.
Forrester ist eine der einflussreichsten IT-Beratungs- und Analysten-Firmen weltweit. Der Report will "S&R-Verantwortliche praxisorientiert beraten wie sie mehr Transparenz im Hinblick auf Identitäten und Berechtigungen erlangen, Risiken senken und gleichzeitig die Produktivität der Mitarbeiter steigern". Varonis ist als einer der Anbieter erwähnt, die detaillierte Informationen zu Datei- und Zugriffsaktivitäten geben können, wie zum Beispiel ob ein Benutzer eine bestimmte Datei gelesen oder/und gelöscht hat. Für Varonis sind genau das die kritischen Informationen, um unnötige und zu weit gefasste Zugriffsrechte zu identifizieren.
Forrester: "Zahlreiche der folgenschwersten Datenschutzverletzungen der letzten 18 Monate (...) gehen auf kompromittierte Identitäten von Benutzern zurück, die auf Bereiche der IT-Infrastruktur zugreifen konnten, auf sie nicht zugreifen sollten." Und weiter: "Informationen zu Dateien und Dateiaktivitäten liefern einen wertvollen Beitrag, um potenzielle Risiken besser zu verstehen und S&R-Profis Methoden an die Hand zu geben, diese Risiken zu minimieren."
Die Resultate des Forrester Reports decken sich mit den Ergebnissen einer Umfrage, die das The Ponemon Institute Ende 2014 im Auftrag von Varonis durchgeführt hat. 71 Prozent aller Befragten gaben an, dass sie Zugriff auf Daten haben, auf die sie keinen Zugriff haben sollten. Mehr als die Hälfte dieser Gruppe gab zusätzlich an, dass dies häufig bis sehr häufig der Fall sei.
Der Report zählt einige der Gründe auf, wie es zu solchen derart weit gefassten Zugriffsberechtigungen kommen kann:
"Allein das schiere Volumen an sensiblen Daten, auf die Mitarbeiter zugreifen, steigt stetig (...). Die sinkenden Speicherkosten haben ihren Teil dazu beigetragen, dass Unternehmen fälschlicherweise mehr Daten speichern und aufbewahren als notwendig."
"Die meisten IT-Sicherheits-Abteilungen folgen keinem in sich konsistenten Prozess beim Erstellen der Berichte zu Berechtigungen und Zugriffsaktivitäten."
"Nicht selten sammeln sich bei Mitarbeitern überflüssige Zugriffsrechte über die Zeit an (...). Sei es, weil sie den Job gewechselt haben, sei es, weil sie in befristeten Projektgruppen tätig waren oder sei es aufgrund von Reorganisationsmaßnahmen." (Varonis: ra)
Varonis Systems: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.