IT-Administration: Zu wenig Datensicherheit im Mittelstand

IT-Administration: Zu wenig Datensicherheit im Mittelstand

Beitrag teilen

Bei vielen Mittelständlern hat nicht nur der IT-Administrator uneingeschränkten Zugang zu allen betrieblichen Daten, sondern auch der IT-affine Azubi. Wenn dieser später das Unternehmen verlässt, behält er häufig seine Zugriffsrechte, weil schlichtweg niemand daran denkt, erklärt Datensicherheitsfachmann Detlef Schmuck.

Die bei Großunternehmen gängigen granularen IT-Berechtigungssysteme werden im Mittelstand aus Kostengründen häufig eingespart. Im Kern werden dabei jedem Nutzer nur diejenigen Zugriffsrechte auf Datenbestände eingeräumt, die für den jeweiligen Arbeitsplatz zwingend erforderlich sind. „Allerdings erfordert die Verwaltung individueller Zugriffsberechtigungen einen hohen Aufwand, zumal es auf Nutzerseite stets die Tendenz gibt, mehr Zugangsrechte erlangen zu wollen als für den Job tatsächlich benötigt werden“, weiß Detlef Schmuck aus zahlreichen Projekten im Mittelstand. Er sagt: „Viele Mittelständler sind mit den Herausforderungen der Digitalisierung vor allem in Sicherheitsfragen nach wie vor überfordert.“

Anzeige

Zu viele haben Zugang zu sensiblen Daten

Detlef Schmuck gibt Beispiele: „Konnten in der analogen Welt Unterlagen mit sensiblen Informationen wie etwa Gehaltslisten oder Businesspläne sicher verschlossen und nur den beteiligten Mitarbeitern zugänglich gemacht werden, so ist das in der digitalen Welt um ein Vielfaches schwieriger. Gemeinsam genutzte Ordner auf einem Fileserver oder einem NAS-System können stets zusätzlich zu den autorisierten Mitarbeitern von jedem Systemadministrator für den Server eingesehen werden. Dieses Risiko ist vielen Unternehmen gar nicht bewusst. So erhält beispielsweise ein befähigter Kollege, der sich um den Server kümmern soll, ganz nebenbei Zugang zu sämtlichen sensiblen Daten, ohne dass es weiter auffällt. Denn sobald derjenige das Server-Passwort für die Administration kennt, stellen alle sonstigen Zugriffsbeschränkungen keinen Schutz mehr dar.“

Cloud-Datenmanagement als Abhilfe

Als Abhilfe rät Detlef Schmuck zum Einsatz eines Cloud-basierten Datenmanagementsystems mit entsprechenden Features. Er nennt dabei als die wichtigsten Kriterien eine Ende-zu-Ende Datenverschlüsselung und eine Zero-Knowledge-Architektur. Das bedeutet erstens, dass alle Daten in der Cloud lückenlos verschlüsselt sind und nur bei berechtigtem Zugriff entschlüsselt werden, und zweitens, dass selbst der Cloud-Administrator keine Schlüssel zu den Daten besitzt.

Das steht im Gegensatz zu den IT-Umgebungen in vielen mittelständischen Unternehmen, bei denen jeder Mitarbeiter mit Administrationsrechten Zugriff auf die E-Mail-Korrespondenz aller Beschäftigten hat. Zwar sind die eigenen Rechner häufig durch Verschlüsselung gut geschützt, aber sobald die Daten den lokalen Rechner verlassen, sind sie meist einem hohen Risiko ausgesetzt, weiß Detlef Schmuck aus Projekten. Er ergänzt: „Alle externen Systemadministratoren sind ebenso zum Kreis derjenigen zu zählen, die unberechtigte Einsicht in vertrauliche Unterlagen nehmen können. Weiterhin besteht dieses Risiko auch für den Exchange- oder andere E-Mail-Server. Auf dem Server liegen in der Regel alle E-Mails und Anlagen unverschlüsselt und werden erst bei der Übertragung verschlüsselt.“

Zugang nur zu den benötigten Daten

Detlef Schmuck ist Geschäftsführer des Hamburger Hochsicherheits-Clouddienstes TeamDrive und postuliert: „In unserem Cloudservice sind die Betriebsdaten sicherer aufgehoben als bei den meisten mittelständischen Firmen in Deutschland.“ Bei TeamDrive übernimmt die Software nicht nur die automatische Verschlüsselung, sondern sorgt auch für eine sichere Schlüsselverwaltung und den sicheren Schlüsselaustausch. Dadurch erhält jeder Nutzer nur Zugang zu den Daten, die er für seine betriebliche Aufgabe tatsächlich benötigt. Zudem werden alle Zugriffe lückenlos protokolliert, so dass sich auch im Nachhinein jederzeit feststellen lässt, wer sich wann an welche Informationen herangemacht hat. Gemäß dem Zero-Knowledge-Prinzip besitzt auch der Cloudbetreiber selbst, also TeamDrive, keine Zugangsschlüssel zu Kundendaten.

Alle gesetzlichen Anforderungen werden erfüllt

Ebenfalls wichtig: TeamDrive erfüllt alle in Deutschland geltenden gesetzlichen Anforderungen gemäß DSGVO (Datenschutz-Grundverordnung) und GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form). Das bedeutet, dass sowohl vertrauliche personenbezogene Daten etwa zur Lohn- und Gehalts­abrechnung als auch Betriebsgeheimnisse wie beispielsweise Kalkulationen oder Verträge rechtskonform in der Cloud abgelegt werden können. Zur Sicherheit trägt bei, dass TeamDrive trotz des anglisierten Firmennamens vollständig in deutscher Hand liegt und auch alle Kundendaten im Rechtsraum der Bundesrepublik Deutschland verbleiben.

Mehr bei TeamDrive.com

 


Über TeamDrive

TeamDrive gilt als „sichere Sync&Share-Software made in Germany“ für das Speichern, Synchronisieren und Sharing von Daten und Dokumenten. Grundlage bildet eine durchgängige Ende-zu-Ende-Verschlüsselung, die gewährleistet, dass nur der Anwender selbst die Daten lesen kann – weder TeamDrive noch irgendeine Behörde auf der Welt kann die Daten entschlüsseln. Diese technische und rechtsverbindliche Sicherheit wissen über 500.000 Anwender und mehr als 5.500 Unternehmen aus allen Branchen zu schätzen.


 

Passende Artikel zum Thema

Neue Version der XDR AI PLATFORM

Die automatisierte XDR Plattform hat in der Version 13 ein verbessertes Verteidigungsarsenal zur Bekämpfung komplexer werdender Cyberbedrohungen. Eine KI hält ➡ Weiterlesen

Notfallplan: Kommunikation während einer Cyberattacke 

Cyberkriminalität und Datendiebstahl sind ein Supergau und können Unternehmen ins Straucheln bringen. Ein Notfallplan hilft allen Beteiligten, die Nerven und ➡ Weiterlesen

ROC – Risk Operations Center in der Cloud

Branchenweit ist es das erste seiner Art: Das Risk Operations Center (ROC) mit Enterprise TruRisk Management (ETM). Die Qualys-Lösung ermöglicht ➡ Weiterlesen

Report: Vertrauenswürdige Windows Anwendungen missbraucht

In seinem neuen Active Adversary Report 2024 belegt Sophos den Wolf im Schafspelz: Cyberkriminelle setzten vermehrt auf vertrauenswürdige Windows-Anwendungen für ➡ Weiterlesen

XDR: Schutz von Daten in Atlassian-Cloud-Applikationen

Mit einer neuen XDR-Erweiterung kann Bitdefender nun auch Daten in Atlassian-Cloud-Applikationen schützen. Somit ist das Überwachen, Erkennen und eine Reaktion auf ➡ Weiterlesen

Ausblick 2025: Lösungen für veränderte Angriffsflächen durch KI, IoT & Co

Die Angriffsfläche von Unternehmen wird sich im Jahr 2025 unweigerlich weiter vergrößern. Die datengetriebene Beschleunigung, einschließlich der zunehmenden Integration von ➡ Weiterlesen

Cloud Rewind für Wiederaufbau nach einer Cyberattacke

Eine neue Lösung für Cyber Recovery und zum Rebuild cloudzentrierter IT-Infrastrukturen. Commvault Cloud Rewind mit neuen Funktionen zum Auffinden von ➡ Weiterlesen

Medusa-Ransomware-Gruppe betreibt offenen Opfer-Blog im Web

Auch Cyberkriminelle pflegen neben der direkten Kommunikation mit dem Opfer ihre Außendarstellung. Denn Reputation ist ein wichtiger Erfolgsfaktor für Ransomware-as-a-Service-Unternehmen. Der ➡ Weiterlesen