Diverse Tools und Applikationen erleichtern den Arbeitsalltag – nie war es so einfach, diese sofort in den Workflow-Prozess zu integrieren. Mit einem privaten Usernamen und Passwort sind Accounts im Handumdrehen angelegt. Davon erfährt die unternehmenseigene IT-Abteilung jedoch nicht immer etwas. Bei der Summe an Cloud-Systemen entsteht innerhalb kürzester Zeit ein Sammelsurium an User-Identitäten, die weitreichende Folgen für das Unternehmen haben können.
Lesen Sie im folgenden Beitrag warum es für Ihre IT-Security-Strategie wesentlich ist zu wissen, wer welche Tools nutzt und wie Sie sich vor Datenverlust und Hackerangriffen schützen.
Wie es zu unübersichtlich vielen User-Accounts kommt
Die Gründe für mehrere User-Accounts sind so vielfältig wie die Anzahl der Usernamen und Passwörter. Nimmt man die Unternehmenshistorie genauer unter die Lupe, fällt oft auf, dass zentrales Identity und Access Management (IAM) weniger Bedeutung beigemessen wurde als heute. In Fachabteilungen wird oft kurzfristig der Wunsch nach bestimmten Tools oder Applikationen laut, um zum Beispiel Prozesse oder interne wie externe Kommunikation zu beschleunigen.
In den vergangenen Jahren hatten IT-Abteilungen in vielen Unternehmen ein – salopp ausgedrückt – angestaubtes Image, sie wurden als „Bremser“ betrachtet. Tatsächlich standen die IT-Experten vor der Herausforderung, zusätzlich zu ihrem Tagesgeschäft auf diese neu aufkommenden Bedürfnisse und neuen Technologien einzugehen, Recherchen anzustellen und entsprechende Lösungen auf Security-Parameter sowie interne wie externe Compliance-Richtlinien zu prüfen.
Was es dafür braucht ist Zeit und so entscheiden viele Fachabteilungen auf eigene Faust nach Lösungen zu suchen und Accounts anzulegen – schließlich war es noch nie so einfach wie heute, einen privaten Dropbox-Account zu erstellen. Die Vorteile verlocken, denn über eine Cloud kann rund um die Uhr von überall aus auf die gespeicherten Daten zugegriffen werden.
Egal ob im In- oder Ausland, im Unternehmen oder daheim während eines Homeoffice-Tages – es ist schlichtweg praktisch, bei Bedarf jederzeit aktuelle Zeitpläne, Budgetberechnungen oder Produktinformationen einsehen zu können. Dem entgegen stand häufig eine unternehmensseitige „no-cloud-policy“, da Cloud-Lösungen als nicht sicher erachtet wurden, obwohl das insbesondere für Business-Varianten gar nicht zutrifft.
Die Folgen und das Buzzword DSGVO
Handeln Fachabteilungen – oder der CEO selbst – eigenmächtig und an der hauseigenen IT-Abteilung vorbei, kommt es zu Schatten-IT. Oft geschieht dies sogar in bester Absicht, um IT-Kollegen mit vermeintlichen Lappalien nicht zu belästigen. Um einen User-Account anzulegen, braucht es nun wirklich keinen IT-Experten – IT ist einfach geworden.
Folglich fehlt der Überblick darüber, welche Tools und Applikationen im Haus genutzt werden, wie viele User-Accounts eigenmächtig angelegt wurden oder welche Daten auf welchen Plattformen kursieren. IT-Abteilungen wissen um die Bedürfnisse der Kollegen nicht Bescheid und können darauf nicht eingehen. Und wie kann noch sichergestellt werden, dass interne Strategiepapiere oder personenbezogene Daten dort bleiben, wo sie hingehören? Verlässt beispielsweise ein Mitarbeiter das Unternehmen, behält er seinen User-Account weiterhin und hat somit Zugriff auf alle Daten, die er während seiner Dienstzeit auf diversen Cloud-Services gespeichert hat. Weiß die IT-Abteilung nichts von diesen privaten User-Accounts, die für Firmenzwecke genutzt werden, ist es nicht mehr möglich, ein notwendiges Austritts-Protokoll zu erfüllen.
Laut DSGVO müssen Unternehmen jederzeit nachweisen können, wo personenbezogene Daten gespeichert sind und bestimmte Sicherheitsstandards erfüllen. Werden von Fachabteilungen Accounts ohne zentrale Steuerung verwendet, ist es nicht möglich, den DSGVO-Richtlinien Folge zu leisten. Empfindlich hohe Bußgelder können die Konsequenz sein.
Überblick verschaffen und aufräumen
Spätestens seit dem Inkrafttreten der DSGVO empfiehlt sich eine Schatten-Cloud-Analyse, um herauszufinden, wo sich User-Accounts verstecken. So sehr die DSGVO auch für Aufsehen gesorgt hat – sie hat durchaus auch ihr Gutes für Unternehmen. Der Stein für konsequentes Identity und Access Management, wo Identitäten und Zugriffsrechte für unterschiedliche Tools und Applikationen verwaltet werden, kommt ins Rollen und die Bedeutung sowie das Ansehen unternehmensinterner IT-Abteilungen wächst wieder. Das Bewusstsein, warum Authentifizierung und Autorisierung der Benutzer relevant sind, rückt in den Fokus. Das Identitätsmanagement geht zudem häufig über das eigene Unternehmen hinaus, da Cloud-Provider, Geschäftspartner und Kunden mitunter auch auf das Unternehmensnetz zugreifen.
Eine konkrete Lösung ist das Single Sign On-Konzept (SSO), ein System, welches SAML-Authentifizierungen unterstützt. Einzelne Anmeldungen, um auf Services, Tools und Ressourcen zuzugreifen, werden durch eine Einmalanmeldung mit einer einzelnen übergreifenden Identität ersetzt.
Sowohl Mitarbeiter als auch Verantwortliche im Unternehmen profitieren von SSO: Post-it’s mit unzähligen Passwörtern am PC-Bildschirm oder Passwort-Manager gehören der Vergangenheit an und IT-Abteilungen können das Unternehmen einfacher vor Datendiebstahl oder Hacker-Angriffen schützen.
Das sind die größten Vorteile von SSO:
- Zeitersparnis führt zu Produktivität
- Sicherheit durch Einmalübertragung eines adäquaten Passwortes
- Zentrale Stelle zur Account-Verwaltung (z.B. Ein- und Austrittsmanagement)
- Schutz vor Phishing-Angriffen
Will ein Mitarbeiter auch außerhalb des Unternehmensnetzwerks auf Ressourcen zugreifen, ist eine Multifaktor-Authentifizierung die Lösung. Ähnlich dem Online-Banking wird etwa eine SMS mit einem Bestätigungspasswort gesendet, mit dem sich der Mitarbeiter problemlos anmelden kann. So stellen auch WLAN-Verbindungen in Hotel-Lobbys oder Flughäfen kein Sicherheitsrisiko mehr dar. Zu guter Letzt: Das Single Sign On-Konzept lässt sich ohne großen Aufwand über bestehende Anwendungen überstülpen und laufend um weitere Systeme oder User-Accounts erweitern.
Fazit: Passwortwildwuchs kann Unternehmen teuer zu stehen kommen
Schatten-IT stellt ein hohes Sicherheitsrisiko für Unternehmen dar. Fachabteilungen wissen oft nicht um aktuelle Sicherheitsstandards oder Compliance-Richtlinien. Je mehr Unternehmensdaten auf (privaten) User-Accounts gespeichert sind, desto höher die Gefahr von Datendiebstahl. IT-Abteilungen haben keine Chance zu kontrollieren, welche ehemaligen Mitarbeiter weiterhin Zugriff auf sensible, personenbezogene Daten haben. Durch die DSGVO können diese Probleme zu teuren Bußgeldern führen. Identity und Access Management schützt Unternehmen davor. Über Single Sign On werden separate Anmeldungen auf unterschiedlichen Diensten obsolet und der Überblick über genutzte Tools und Ressourcen wird gewahrt.
