IT-Sicherheit

Rechtemanagement

Datendiebstahl-Risiko minimieren, Datensicherheit erhöhen

von 16.04.2021
Zu sehen sind ein Schloss und eine Kette. Bestimmte Daten sind durch Rechtemanagement zu schützen. Bild: Unsplash/Roth Melinda
Bestimmt Daten gilt es vor dem Zugriff durch Unbefugte auch intern zu schützen. Ein Rechtemanagement hilft. Bild: Unsplash/Roth Melinda

Das Rechtemanagement fristet in vielen Unternehmen ein sehr klägliches Dasein, sofern es überhaupt vorhanden ist. Aber genau das ist enorm gefährlich, denn die Sicherheit und der Schutz von Daten sind nicht gewährleistet, wenn jeder Mitarbeiter Zugriff auf alles hat. 
Wir erklären, worauf es beim Rechtemanagement ankommt und wie Sie es umsetzen.

Zu sehen sind ein Schloss und eine Kette. Bestimmte Daten sind durch Rechtemanagement zu schützen. Bild: Unsplash/Roth Melinda

Bestimmt Daten gilt es vor dem Zugriff durch Unbefugte auch intern zu schützen. Ein Rechtemanagement hilft. Bild: Unsplash/Roth Melinda

Rechtemanagement – wenn nicht jeder alles darf

Als Hauptrisiko für die Datensicherheit von Unternehmen gelten schon seit langer Zeit Cyberangriffe. Das ist soweit auch richtig, jedoch vergessen viele Entscheider dabei, dass der Faktor Mensch im Allgemeinen und die eigenen Mitarbeiter im Besonderen ebenfalls ein Sicherheitsrisiko darstellen – ob nun absichtlich oder unabsichtlich. Die gute Nachricht: Durch ein entsprechendes Rechtemanagement (auch: Rechte-Management) lässt sich diese Gefahr nachhaltig minimieren.
Es zeichnet sich vor allem dadurch aus, dass Zugriffsrechte kontrolliert vergeben werden oder kurzum: Nicht jeder darf alles sehen und verwalten. Und genau das ist der Schlüssel für eine höhere Datensicherheit. Wichtig dabei: Es geht dabei keinesfalls darum, die Transparenz innerhalb eines Betriebes zu erschweren. Diese Aussage ist vor allem in Richtung der Mitarbeiter wichtig.

Datendiebstahl durch eigene Mitarbeiter

Die renommierten Wirtschaftsprüfungsgesellschaft KPMG hat nun eine Studie zum Thema Rechtemanagement veröffentlicht. Mehr als 1.000 Unternehmen aus verschiedenen Branchen haben an der Befragung teilgenommen. Positiv ist, dass es immerhin ein Bewusstsein für unternehmensinternen Datendiebstahl gibt – knapp 80 Prozent der Teilnehmer bewerteten diesen als ernstes Problem. Die weiteren Ergebnisse geben Anlass zur Sorge.
In mehr als der Hälfte (56 Prozent) aller Fälle, in denen Geschäftsgeheimnisse verletzt wurden, stammten die Übeltäter aus der eigenen Belegschaft. Natürlich steckte nicht immer zwingend eine böse Absicht dahinter. Dennoch lässt sich feststellen, dass es vor allem an den richtigen Instrumenten mangelt, um derartige Risiken aufzudecken und zu minimieren.
Fakt ist: Fehlt ein eindeutiges Rechtemanagement, haben Datendiebe leichtes Spiel. Zu diesem Schluss kommt auch die KPMG-Studie: 80 Prozent der befragten Unternehmen sollten ihr Berechtigungskonzept umgehend überarbeiten und so ihre Firmendaten vor unbefugten Zugriffen und Diebstahl schützen.

Rechtemanagement – darauf kommt es an

Die IT-Abteilung ist Dreh- und Angelpunkt des Rechtemanagements und der Zero-Trust-Sicherheit auf übergeordneter Ebene. Sie ist in erster Instanz für die operative Zugriffsverwaltung und die damit einhergehenden Aufgaben verantwortlich. Aber: Die Anweisungen müssen von anderer Stelle kommen. Idealerweise legt jeder Abteilungs- oder Team-Leiter fest, welche Mitarbeiter auf welche Daten(-banken) und Programme zugreifen dürfen.
Zudem gilt es, Besonderheiten zu berücksichtigen – beispielsweise für den Fall, dass eine reguläre Verwaltungskraft auch die Urlaubsvertretung für die Personalverantwortliche macht. Im ersten Schritt geht es also zunächst einmal darum, dass eindeutig definiert wird, welche Daten kritisch sind und welche nicht. Aber wie lässt sich das anstellen?

Die genaue Bestandsaufnahme aller IT-Systeme sowie eine präzise Festlegung von Zugriffsrechten machen Zero-Trust-Sicherheit möglich. Bild: pixabay.com/TheDigitalArtist

Daten klassifizieren – die wichtigsten Kriterien

Das Daten-Management im Allgemeinen und die Daten-Klassifizierung im Besonderen sind natürlich eine komplizierte Angelegenheit. Dennoch gibt es bestimmte Basics, die sich recht eich definierten lassen. Besonderes Augenmerk sollte auf folgenden Daten liegen:

  • Persönliche Informationen von Mitarbeitern, Bewerbern oder Kunden (DSGVO)
  • Vertrauliche Informationen und Geschäftsgeheimnisse
  • Daten, die für Finanztransaktionen benötigt werden

Parallel zu dieser Klassifizierung sollten sich Experten mit den technischen Voraussetzungen beziehungsweise entsprechender Software auseinander setzen. Der Markt ist groß, das Angebot teilweise unübersichtlich. Es gilt, eine Lösung zu finden, die die aktuellen Anforderungen des Unternehmens erfüllt und dennoch skalierbar ist, sollte der Betrieb wachsen.

Rechte- und Zugriffsmanagement nur der Anfang?

Sind die Daten, die ein Unternehmen verwaltet und verarbeitet von besonderer Brisanz, kann auch die Einführung eines Identitätsmanagements nötig sein. Das geht noch einen Schritt weiter und regelt den Zugriff auf bestimmte Programme oder Daten nicht nur auf Basis des aktuellen Log-ins oder eingegebener Zugangsdaten, sondern der bestätigten Identität des Nutzers.
In Pharmakonzernen, anderen Forschungsunternehmen oder staatlichen Institutionen ist das natürlich schon längst Gang und Gäbe, wobei es auch dort immer wieder zu Zwischenfällen kommt. Daher ist es ebenso wichtig, Rechte und Rollen eindeutig und sicher auch wieder entziehen zu können. Beispielsweise dann, wenn ein Mitarbeiter, der mit vertraulichen Daten zu tun hatte, kündigt und zur Konkurrenz wechselt.

Mehrstufiges Konzept für das Rechtemanagement

Sie sehen: Die Implementierung eines Rechtemanagements ist zwar kein Hexenwerk, aber ebenso wenig etwas für die Mittagspause. Im Kern geht es schließlich auch darum, sukzessive existente Sicherheitslücken in den eigenen Reihen zu identifizieren und zu eliminieren.
Unser Tipp daher: Holen Sie sich professionelle Unterstützung – zum Beispiel durch unsere Experten aus dem IT-SERVICE.NETWORK. Wir kümmern uns nicht nur um die Auswahl und Installation der passenden Software, sondern bei Bedarf auch um die laufende Verwaltung.
Darüber hinaus bieten wir weitere Dienstleistungen für Unternehmen an, die die Datensicherheit erhöhen und die Risiken von Datendiebstahl und -spionage minimieren. Interesse? Dann nehmen Sie zu unseren IT-Experten in Ihrer Nähe Kontakt auf und lassen sich beraten. Wir freuen uns auf Ihre Anfrage!


Weiterführende Links:
KPMG, Datenschutz

Geschrieben von

Lena Klaus arbeitet seit 2018 als freie Autorin und SEO-Expertin für das IT-SERVICE.NETWORK. Besonders die Themen rund um den digitalen Wandel und New Work haben es ihr angetan. Darüber hinaus ist die erfahrene Texterin immer wieder fasziniert davon, welche neue Methoden und Tricks Hackern und Cyberkriminellen einfallen. Seit 2013 kennt Lena Klaus die IT-Branche und… Weiterlesen

Fragen zum Artikel? Frag den Autor
0 Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Aktuelle Themen zum Thema IT-Sicherheit

IT-Sicherheit

DSGVO-Bußgelder

Verstoß gegen Datenschutz wird teuer

von • 18.11.2024

Die DSGVO-Bußgelder galten lange Zeit eher als möglich statt real. Inzwischen hat sich das aber geändert: Immer häufiger werden DSGVO-Verstöße geahndet. Wir erklären, wie real die Angst vor ...

Weiterlesen
IT-Sicherheit

BSI-Lagebericht 2024

Lage der IT-Sicherheit in Deutschland bietet Anlass zu Sorge

von • 13.11.2024

Die Cybersicherheitslage in Deutschland ist besorgniserregend. Laut dem BSI-Lagebericht 2024 sind vor allem Ransomware, Schwachstellen in IT-Systemen und gezielte Cyberangriffe für die kritische Lage...

Weiterlesen
IT-Sicherheit

Cyber Resilience Act

Damit Unternehmen auf sichere IT-Produkte vertrauen können

von • 30.10.2024

Der Cyber Resilience Act ist beschlossene Sache! Das Gesetz stellt neue Sicherheitsanforderungen für digitale Produkte aus und soll Unternehmen und Privatnutzer vor „unsicheren“ IT-Produkten sch...

Weiterlesen