IT-Security

Diese Mitarbeiter gefährden Ihre Sicherheit

Florian beschäftigt sich mit dem Themenbereich IT-Security und schreibt über reichweitenstarke und populäre IT-Themen an der Schnittstelle zu B2C. Daneben ist er für den Facebook- und LinkedIn-Auftritt der COMPUTERWOCHE zuständig.
Unternehmen müssen sich nicht nur vor kriminellen Hackern fürchten. Auch die eigenen Mitarbeiter stellen eine Bedrohung dar - manche sogar eine ganz besondere.

Das vergangene Jahr markierte einen neuen Höhepunkt in Sachen Hacks, Scams und sonstiger Sicherheitsvorfälle. Dabei sind sich viele Untersuchungen zum Thema einig: Das Gros der Bedrohungen kommt von Innen.

Schuldiger gefunden? 10 Mitarbeiter, die die IT-Sicherheit gefährden (können).
Schuldiger gefunden? 10 Mitarbeiter, die die IT-Sicherheit gefährden (können).
Foto: Ollyy - shutterstock.com

Top 10: Mitarbeiter, die die IT-Sicherheit bedrohen

Auch für Sam Elliot vom Security-Anbieter Bomgar sind Mitarbeiter und externe Partner mit entsprechenden Zugriffsrechten die Hauptverdächtigen. Elliot warnt insbesondere vor diesen zehn Mitarbeiter-Kategorien:

10. Die Charity-Organisation

Der Weg ins Verderben kann mit integren Absichten beschritten werden: "Wie man beim Hack von JP Morgan Chase im Jahr 2014 gesehen hat, kommt die Kreativität bei solchen Angriffen nie zu kurz", betont Elliot. "Viele große und kleine Wohltätigkeitsorganisationen erhalten im Rahmen von Kooperationen Zugriff auf die Mitarbeiter-Datenbanken von Unternehmen oder halten sensible Informationen über teilnehmende Mitarbeiter vor."

9. Der Cloud-Manager

Daten in der Cloud vorzuhalten kann ein Risiko darstellen: "Je mehr Daten ihren Weg in die Cloud finden, desto wichtiger werden die privilegierten User, die die Infrastruktur managen," so Elliot. "Diese Personen haben umfassenden Zugriff auf Unternehmens-Daten und stellen deshalb lukrative Ziele für Hacker dar."

8. Der befristet Beschäftigte

Gerade bei zeitlich befristeten Verträgen ist Nachlässigkeit der falsche Ansatz: "In der Einzelhandelsbranche und anderen serviceorientierten Bereichen der Industrie werden Saison- und Zeitarbeiter eingestellt - auch in den IT-Abteilungen. Diese werden oft mit zeitlich begrenzten Zugriffsrechten auf Online-Systeme und entsprechender Hardware ausgestattet. Für diese Mitarbeiter sollten die gleichen IT-Sicherheitsregeln gelten, wie für alle anderen", empfiehlt der Experte.

7. Der externe Partner

"Viele Unternehmen - insbesondere große - setzen für ihr Tagesgeschäft auf ein komplexes Netzwerk von externen Händlern", erklärt Elliot. "Wie bereits mehrere schlagzeilenträchtige Fälle gezeigt haben, stellt es ein Risiko dar, diese Händler via VPN mit direktem Zugriff auf das Unternehmensnetzwerk auszustatten. Denn diese Zugänge könnten Hackern als Gateway dienen. Unternehmen sollten den Zugriff ihrer Händler limitieren und kontrollieren."

6. Der Social Media Manager

Viele Social-Media-Experten glauben daran, dass jede Art von Aufmerksamkeit gut ist. "Social-Media-Admins sind ständig online und stehen in der Netz-Öffentlichkeit. Über diese Personen findet man wahrscheinlich schnell erste Kontaktinformationen über Karriere-Netzwerke wie LinkedIn", gibt Elliot zu bedenken. "Kriminelle Hacker könnten außerdem versuchen, sich selbst als Social Media Manager auszugeben, um Zugriff auf Systeme oder Informationen zu bekommen."

Inhalt dieses Artikels

 

Tillmann A. Basien

Wer was, wann und warum tut, ganz besonders wenn es sich um Anwender mit hohen rechten (privilegierte Anwender, Admins) handelt, ist eine zentrale Frage in jeder gesicherten IT-Infrastruktur.

Dabei ist nicht nur der Zugang (wer und wann auf was) gefragt, sondern auch wie, als die konkrete Interaktion. Dabei sind auch Copy&Paste, sowie Dateitransfer im Focus eines vollständigen Audits zu sehen.

Aus Logfiles ist das ein Puzzelarbeit und manipulierbar, und die Dokumentation des privilegierten Anwenders nicht vertrauenswürdig, somit wertlos.

Eine zentral und nicht umgehbar Lösung in Form eines Film (wie jede
Videokamera an ein Tankstelle oder im Parkhaus) ist eine einfache geniale Sache.

comments powered by Disqus