Software und Strategien für den erfolgreichen Mittelstand

Datenverlust kostet Unternehmen bis zu 2,7 Millionen Euro jährlich

„Identity und Access Management muss zu Benutzern passen“

MigrationManagerEX
Mit Migrations-Tools steht dem Umzug in Cloud-Umgebungen nichts im Weg. Quelle: Quest/Dell

Viele Unternehmen haben mit den Folgen ineffektiver Richtlinien für Informationen und „Access Governance“ zu kämpfen. Dazu gehören auch Sicherheitslücken, geringere Produktivität und steigende Kosten. Eine Umfrage von Quest Software unter europäischen CIOs hat gezeigt, dass die mangelhafte Absicherung von Kundendaten Unternehmen jährlich bis zu 2,7 Millionen Euro an entgangenen Einkünften sowie an Strafen kostet. Weitaus dramatischer ist jedoch der Imageschaden.

Datenverluste

Alexander Neff
Alexander Neff, Geschäftsführer Deutschland bei Quest Software: „Die Vergabe von Rechten muss automatisiert stattfinden.“ Quelle: Dell/Quest

Die Zahlen der Befragung von jeweils 175 CIOs (Chief Information Officers) in UK, Frankreich und Deutschland sprechen für sich: Datenverluste kosten Unternehmen jährlich bis zu 2,7 Millionen Euro an entgangenen Erträgen beziehungsweise an Strafen.

Das hat eine Umfrage von Quest Software (mittlerweile gehört das Unternehmen zu Dell) ergeben: „Dabei sind die Unterschiede in den drei Ländern nicht sonderlich gravierend, denn die europäischen CIOs gaben mehrheitlich an, dass die aktuellen Security-Richtlinien in Unternehmen nicht ausreichen, um geschäftskritische Informationen zu schützen“, erläutert Alexander Neff. Der Geschäftsführer Deutschland bei Quest Software zitiert weiter aus der Studie: „Viele sehen den Grund dafür in den unzureichend auf die Bedürfnisse der Mitarbeiter abgestimmten Prozessen bezüglich Identity und Access Management, kurz IAM.“

Unterschiede in Europa

Doch in einem Punkt unterscheiden sich laut Neff die Ergebnisse dann doch: 77 Prozent der englischen und 72 Prozent der französischen CIOs wollen, dass ihre Unternehmen und die Mitarbeiter, die mit den Daten umgehen, mehr Verantwortung für die Verwaltung und das Management der Daten übernehmen sollen. In Deutschland waren nur 57 Prozent der befragten CIOs dieser Meinung. „Es fällt auch auf, dass die deutliche Mehrheit der deutschen CIOs – immerhin 81 Prozent – das Thema IAM in diesem Jahr priorisieren wollen“, gibt Neff zu Protokoll. „Denn fast jeder dritte CIO hierzulande befürchtet die rechtlichen und finanziellen Konsequenzen durch Datenverluste.“

Daher ist es sehr wichtig, Vorkehrungen zu treffen, um derartige Verstöße auch protokollieren zu können. Hier verweist Neff auf diverse technische Lösungen, beispielsweise auf Auditor-Tools, die entsprechende Verstöße aufspüren und grundlegende Konfigurationsänderungen in Echtzeit und ohne den Overhead der systemeigenen Überwachung verfolgen, überwachen und berichten. „Mit derartigen Tools wissen Nutzer immer, wer welche Änderungen wann, wo und warum durchgeführt hat. Für eine besonders schnelle Problemlösung können sowohl die ursprünglichen als auch die augenblicklichen Werte eingesehen werden. Dadurch sind Unternehmen in der Lage, für Auditoren und die Führungsebene automatisch intelligente und detaillierte Berichte zu generieren und das Risiko, das mit tagtäglichen Modifikationen einhergeht, effektiv zu minimieren.“

Kritische Modifikationen

Um nicht-autorisierte Änderungen, die eine Windows-basierte Umgebung stören können, zu verhindern, sind bestimmte Funktionalitäten wichtig. Neff sieht hier vor allem eine technische Lösung als entscheidend, eine Lösung, die alle kritischen Änderungen – einschließlich Group Policy-Objekte, Domain Name System (DNS), Server-Konfigurationen und „Nested Groups“ – überwachen und darüber auch berichten kann.

„Zudem können Aktivitäten der Anwender und Administratoren, etwa fehlgeschlagene Logins und Zugriffe auf geschäftskritische Dateien, überwacht werden, um die Infrastruktur vor nicht-autorisierten Zugriffen zu schützen und regulatorische Compliance einzuhalten“, erklärt Neff. Eine hochwertige Lösung wandelt dabei die anscheinend bedeutungslosen Daten in aussagekräftige Informationen um, die die Sicherheit und Compliance der Infrastruktur gewährleisten:  „Dazu zähle ich beispielsweise ‚Smart Alerts‘ in Echtzeit, detaillierte Reports oder leistungsstarke Suchfunktionen“, verdeutlicht Neff. „Die Compliance- Berichterstattung ist in diesem Umfeld letztlich nur zu gewährleisten, wenn Microsoft SQL Reporting Services (SRS), integrierte Berichte sowie Werkzeuge für benutzerdefinierte Berichte zum Einsatz kommen.“

Active Directory ist meist gesetzt

Beim Thema IAM sieht das Szenario heutzutage in vielen Unternehmen wie folgt aus: Das Active Directory (AD) liegt im Unternehmen, die Personaldaten in eigenen HR-Applikationen, dazu kommen noch SaaS-Angebote – wie Office 365 – mit ins Spiel. Um eine Integration der verschiedensten Plattformen und Identity Stores zu realisieren, benötigt man ein offenes Konzept, das die Integration in ein IAM-System ermöglicht – so lautet die Überzeugung von Neff. „Die Quest One Solutions bieten genau diese Flexibilität, um schnell und unkompliziert IAM zu realisieren. Sie verfügen über ein komplettes Set an Funktionalitäten und ermöglichen aufgrund ihrer flexiblen und modularen Architektur eine umfassende Kontrolle für diverse Sicherheitsprobleme.“

Die richtige Lösung  vereinfache die Zugriffsverwaltung von Benutzeridentitäten, Zugriffsrechten und Sicherheit im gesamten Unternehmen durch automatisierte IAM-Prozesse. So reduziere sich die Komplexität, der Zeitaufwand und die Kosten – die häufigsten Probleme bei herkömmlichen IAM-Einzellösungen. Gleichzeitig vermeiden Unternehmen damit effektiv geschäftskritische Risiken, die durch mangelhafte Praktiken beim Identity und Access Management entstehen.

Single Sign On

Generell lassen sich viele aktuelle IT-Security-Bedrohungen durch Aufklärung, Sorgfalt und technologiegestützte Prozesse verhindern. Dabei helfen stetig wechselnde und sichere Passwörter, das Risiko weiter zu minimieren. Doch es geht auch um das Thema „Komfort“.

Für den Quest-Manager liegt es auf der Hand, dass Benutzerfreundlichkeit ebenfalls im Fokus liegen muss. „Die Anzahl der Passwörter sollte beispielsweise massiv reduziert werden“, führt Neff aus. „Ich erwähne nur ein Stichwort: Single Sign On. Außerdem müssen dem Benutzer Self-Service-Optionen an die Hand gegeben werden. Sie ermöglichen die Zuweisung von Konten, physischen Werten sowie Zugriffsrechten und Genehmigungen mit einer intuitiven, leicht anwendbaren „Einkaufswagen“-Benutzeroberfläche. Darüber hinaus müssen IT-Führungskräfte die Mitarbeiter verstärkt über die Risiken aufklären, die mit dem Austausch von Unternehmensdaten über schlecht gesicherte Kanäle einhergehen.“

Single Sign On löst viele Probleme

Bei einer Sicherheitsstrategie nach dem Muster „Least Privilege“ erhält jeder Mitarbeiter nur die Rechte, die er unbedingt zur Erfüllung seiner Aufgaben benötigt. Doch darf man nicht den Überblick über ein rollenbasiertes Benutzerkonzept verlieren. Für Neff spielt in diesem Kontext die Automatisierung eine wichtige Rolle: „Die Vergabe von Rechten muss automatisiert basierend auf Rollen beziehungsweise Eigenschaften und Zugehörigkeiten stattfinden. Dadurch wird bei einer Änderung der Rolle das Rechtepaket entsprechend ohne manuellen Eingriff angepasst. Um den Überblick über die Rechtevergabe zu behalten sind sowohl Reporting-Funktionalitäten als auch Dashboards essentiell, denn sie bieten alles auf einen Blick. Auch hier spielt die Quest One-Lösung eine zentrale Rolle in der Bereitstellung dieser Anforderungen.“

Protokollierung deckt vieles auf

Die Einführung einer Richtlinie zur Nachverfolgung von Zugriffen ist für viele Unternehmen eine valide Option. Dabei empfiehlt es sich, regelmäßige und automatisierte Benachrichtigungen zu nutzen, um zwei oder mehr Administratoren auf Zugriffsänderungen, Mitarbeiterwechsel oder andere kritische Sachverhalte aufmerksam zu machen. Das Auditing in Microsoft-basierten Umgebungen ist immer verfügbar, doch man kann hier zusätzlich auf Lösungen von Drittherstellern setzen.

„Die native Auditierungs-Funktionalität, die in einer Microsoft-basierten Infrastruktur zur Verfügung steht, kann vom technischen und administrativen Aspekt her problematisch sein“, gibt Neff zu Bedenken. „Die Performance-Anforderungen für eine native Protokollierung – auch als native Logging bezeichnet – liegen sehr hoch. Die Auswertung dieser Daten ist je nach Größe des Unternehmens schwierig bis unmöglich. Hier können Lösungen wie der Quest Change Auditor oder Quest Intrust wertvolle Hilfe leisten.“

Rainer Huttenloher