Top-5-Rangliste

Missverständnisse in der IT-Sicherheit

Ronald Wiltscheck widmet sich bei ChannelPartner schwerpunktmäßig den Themen Software, KI, Security und IoT. Außerdem treibt er das Event-Geschäft bei IDG voran. Er hat Physik an der Technischen Universität München studiert und am Max-Planck-Institut für Biochemie promoviert. Im Internet ist er bereits seit 1989 unterwegs.

Missverständnis 4: Die IT-Abteilung kontrolliert den Zugang, da kann nichts mehr passieren

Das ist ein Trugschluss. Nur weil jeder Zugang kontrolliert wird, bedeutet dies nicht, dass Ihr Kunde sicher ist. Warum? Weil die Passwörter höher privilegierter Accounts in der Regel in Anwendungen integriert sind oder direkt an externe Dienstleister kommuniziert werden. Werden diese Zugangsdaten geteilt, ist es absolut unmöglich, präzise zu wissen, wer sich einloggt und wer was exakt während einer Session getan hat.

Und da diese Passwörter oft auch gar nicht mehr geändert werden, haben Mitarbeiter, die das Unternehmen kürzlich verlassen haben oder Dienstleister, deren Vertrag ausgelaufen ist, eine (Gnaden-)Frist, in der sie ihre (temporär noch gültigen) Zugangsdaten für das Einhacken in die Unternehmenssysteme nutzen können.

Laut Wallix hilft hier ein IAM-System (Indentity and Access Management) nur bedingt. Das ist nur eine Teillösung, die den Umsatz nicht optimal managen kann. Genau wie ein Unternehmen sich entwickelt und wächst, entwickeln sich und wachsen auch seine Mitarbeiter. Sie ändern ihre Positionen, ihre Rollen, übernehmen größere Verantwortung, haben mehr Autorität - und natürlich verlassen auch Mitarbeiter das Unternehmen.

Wenn diese Zugangsdaten nach der beruflichen Veränderung - in welcher Form auch immer - nicht modifiziert werden, haben diese Anwender nach wie vor Zugang zu Informationen und zu Services, die eventuell nicht mehr ihrem neuen Status entsprechen.

Zur Startseite