Das Rechtemanagement fristet in vielen Unternehmen ein sehr klägliches Dasein, sofern es überhaupt vorhanden ist. Aber genau das ist enorm gefährlich, denn die Sicherheit und der Schutz von Daten sind nicht gewährleistet, wenn jeder Mitarbeiter Zugriff auf alles hat.
Wir erklären, worauf es beim Rechtemanagement ankommt und wie Sie es umsetzen.
Bestimmt Daten gilt es vor dem Zugriff durch Unbefugte auch intern zu schützen. Ein Rechtemanagement hilft. Bild: Unsplash/Roth Melinda
Rechtemanagement – wenn nicht jeder alles darf
Als Hauptrisiko für die Datensicherheit von Unternehmen gelten schon seit langer Zeit Cyberangriffe. Das ist soweit auch richtig, jedoch vergessen viele Entscheider dabei, dass der Faktor Mensch im Allgemeinen und die eigenen Mitarbeiter im Besonderen ebenfalls ein Sicherheitsrisiko darstellen – ob nun absichtlich oder unabsichtlich. Die gute Nachricht: Durch ein entsprechendes Rechtemanagement (auch: Rechte-Management) lässt sich diese Gefahr nachhaltig minimieren.
Es zeichnet sich vor allem dadurch aus, dass Zugriffsrechte kontrolliert vergeben werden oder kurzum: Nicht jeder darf alles sehen und verwalten. Und genau das ist der Schlüssel für eine höhere Datensicherheit. Wichtig dabei: Es geht dabei keinesfalls darum, die Transparenz innerhalb eines Betriebes zu erschweren. Diese Aussage ist vor allem in Richtung der Mitarbeiter wichtig.
Datendiebstahl durch eigene Mitarbeiter
Die renommierten Wirtschaftsprüfungsgesellschaft KPMG hat nun eine Studie zum Thema Rechtemanagement veröffentlicht. Mehr als 1.000 Unternehmen aus verschiedenen Branchen haben an der Befragung teilgenommen. Positiv ist, dass es immerhin ein Bewusstsein für unternehmensinternen Datendiebstahl gibt – knapp 80 Prozent der Teilnehmer bewerteten diesen als ernstes Problem. Die weiteren Ergebnisse geben Anlass zur Sorge.
In mehr als der Hälfte (56 Prozent) aller Fälle, in denen Geschäftsgeheimnisse verletzt wurden, stammten die Übeltäter aus der eigenen Belegschaft. Natürlich steckte nicht immer zwingend eine böse Absicht dahinter. Dennoch lässt sich feststellen, dass es vor allem an den richtigen Instrumenten mangelt, um derartige Risiken aufzudecken und zu minimieren.
Fakt ist: Fehlt ein eindeutiges Rechtemanagement, haben Datendiebe leichtes Spiel. Zu diesem Schluss kommt auch die KPMG-Studie: 80 Prozent der befragten Unternehmen sollten ihr Berechtigungskonzept umgehend überarbeiten und so ihre Firmendaten vor unbefugten Zugriffen und Diebstahl schützen.
Rechtemanagement – darauf kommt es an
Die IT-Abteilung ist Dreh- und Angelpunkt des Rechtemanagements und der Zero-Trust-Sicherheit auf übergeordneter Ebene. Sie ist in erster Instanz für die operative Zugriffsverwaltung und die damit einhergehenden Aufgaben verantwortlich. Aber: Die Anweisungen müssen von anderer Stelle kommen. Idealerweise legt jeder Abteilungs- oder Team-Leiter fest, welche Mitarbeiter auf welche Daten(-banken) und Programme zugreifen dürfen.
Zudem gilt es, Besonderheiten zu berücksichtigen – beispielsweise für den Fall, dass eine reguläre Verwaltungskraft auch die Urlaubsvertretung für die Personalverantwortliche macht. Im ersten Schritt geht es also zunächst einmal darum, dass eindeutig definiert wird, welche Daten kritisch sind und welche nicht. Aber wie lässt sich das anstellen?
Die genaue Bestandsaufnahme aller IT-Systeme sowie eine präzise Festlegung von Zugriffsrechten machen Zero-Trust-Sicherheit möglich. Bild: pixabay.com/TheDigitalArtist
Daten klassifizieren – die wichtigsten Kriterien
Das Daten-Management im Allgemeinen und die Daten-Klassifizierung im Besonderen sind natürlich eine komplizierte Angelegenheit. Dennoch gibt es bestimmte Basics, die sich recht eich definierten lassen. Besonderes Augenmerk sollte auf folgenden Daten liegen:
- Persönliche Informationen von Mitarbeitern, Bewerbern oder Kunden (DSGVO)
- Vertrauliche Informationen und Geschäftsgeheimnisse
- Daten, die für Finanztransaktionen benötigt werden
Parallel zu dieser Klassifizierung sollten sich Experten mit den technischen Voraussetzungen beziehungsweise entsprechender Software auseinander setzen. Der Markt ist groß, das Angebot teilweise unübersichtlich. Es gilt, eine Lösung zu finden, die die aktuellen Anforderungen des Unternehmens erfüllt und dennoch skalierbar ist, sollte der Betrieb wachsen.
Rechte- und Zugriffsmanagement nur der Anfang?
Sind die Daten, die ein Unternehmen verwaltet und verarbeitet von besonderer Brisanz, kann auch die Einführung eines Identitätsmanagements nötig sein. Das geht noch einen Schritt weiter und regelt den Zugriff auf bestimmte Programme oder Daten nicht nur auf Basis des aktuellen Log-ins oder eingegebener Zugangsdaten, sondern der bestätigten Identität des Nutzers.
In Pharmakonzernen, anderen Forschungsunternehmen oder staatlichen Institutionen ist das natürlich schon längst Gang und Gäbe, wobei es auch dort immer wieder zu Zwischenfällen kommt. Daher ist es ebenso wichtig, Rechte und Rollen eindeutig und sicher auch wieder entziehen zu können. Beispielsweise dann, wenn ein Mitarbeiter, der mit vertraulichen Daten zu tun hatte, kündigt und zur Konkurrenz wechselt.
Mehrstufiges Konzept für das Rechtemanagement
Sie sehen: Die Implementierung eines Rechtemanagements ist zwar kein Hexenwerk, aber ebenso wenig etwas für die Mittagspause. Im Kern geht es schließlich auch darum, sukzessive existente Sicherheitslücken in den eigenen Reihen zu identifizieren und zu eliminieren.
Unser Tipp daher: Holen Sie sich professionelle Unterstützung – zum Beispiel durch unsere Experten aus dem IT-SERVICE.NETWORK. Wir kümmern uns nicht nur um die Auswahl und Installation der passenden Software, sondern bei Bedarf auch um die laufende Verwaltung.
Darüber hinaus bieten wir weitere Dienstleistungen für Unternehmen an, die die Datensicherheit erhöhen und die Risiken von Datendiebstahl und -spionage minimieren. Interesse? Dann nehmen Sie zu unseren IT-Experten in Ihrer Nähe Kontakt auf und lassen sich beraten. Wir freuen uns auf Ihre Anfrage!
Weiterführende Links:
KPMG, Datenschutz
Geschrieben von
Lena Klaus arbeitet seit 2018 als freie Autorin und SEO-Expertin für das IT-SERVICE.NETWORK. Besonders die Themen rund um den digitalen Wandel und New Work haben es ihr angetan. Darüber hinaus ist die erfahrene Texterin immer wieder fasziniert davon, welche neue Methoden und Tricks Hackern und Cyberkriminellen einfallen. Seit 2013 kennt Lena Klaus die IT-Branche und… Weiterlesen
Schreiben Sie einen Kommentar
* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung