Für viele KMU-Betriebe stellen nicht Hacker das grösste Risiko in Sachen Cybersicherheit dar, sondern eigene Mitarbeitende. Insbesondere der Diebstahl von Daten durch Insider wird als schwerwiegendes Problem gesehen, wie eine Studie des Wirtschaftsprüfers KPMG ergeben hat.
Betriebsinterner Datendiebstahl ist für rund 80 Prozent der von KPMG im Rahmen einer Studie befragten Unternehmen ein ernsthaftes Problem. Insbesondere, wenn es zu Verletzungen von Geschäftsgeheimnissen kommt, sind die Täter in der Mehrheit aller Fälle (56%) in den Reihen der eigenen Belegschaft zu suchen.
Interner Datendiebstahl wird durch die Tatsache begünstigt, dass mittelständischen Betrieben oftmals effiziente Instrumente zur Risiko-Erkennung fehlen, schreiben die Experten von KPMG weiter. Die Vergabe von Zugriffsrechten ist in KMU zudem häufig nur undeutlich oder mangelhaft geregelt, wie es heisst. Wenn darüber hinaus auch die notwendigen Kontrollen fehlen, haben betriebseigene Täter ein leichtes Spiel.
Unklare Zugriffsberechtigungen begünstigen Datenmissbrauch
Als Hauptproblem bezeichnen die Autoren der Studie die Abwesenheit eines zentralen Rechtemanagements in vielen KMU. IT-Manager haben dadurch häufig keinen vollständigen Überblick darüber, welche Nutzer Zugriff auf welche Konten haben. Für böswillige Mitarbeitende mit umfassenden Zugriffsrechten ist es in solchen Fällen relativ einfach, sich Zugang zu Geschäftsgeheimnissen und anderen kritischen Unternehmensinformationen zu verschaffen.
Ein weiterer Grund ist, dass der Datenzugriff in KMU oft organisatorisch unklar geregelt ist. Auch welche Daten überhaupt als kritisch gelten ist nicht immer deutlich. Dies wiederspiegelt sich in den Berechtigungen und begünstigt letztlich den Missbrauch von Unternehmensdaten. Eine Folge mangelhafter organisatorischer Abläufe ist es nicht zuletzt auch, wenn bei Abgängen oder internen Stellenwechseln vergessen wird, bestehende Zugriffsrechte zu löschen
Identity Management-Lösungen schaffen Abhilfe
Eine Lösung bietet gemäss KPMG die Implementierung einer Identity Management-Lösung, die dem Missbrauch kritischer Daten vorbeugt. Derartige Anwendungen gewährleisten die richtliniengesteuerte Vergabe bzw. den Entzug von Rechten und verschaffen dem IT-Management einen zentralen Überblick. So kann beispielsweise beim Abgang eines Mitarbeiters mit einer solchen Lösung dessen Nutzerkonto samt aller Berechtigung einfach gesperrt und nach einer abgesprochenen Frist gelöscht werden.
Für die Studie befragte KPMG 1‘001 Unternehmen aus allen Branchen.