Frei zugängliche, sensible Daten und unbefristet gültige Passwörter: um IT-Security und Datenschutz ist es in vielen Unternehmen weiterhin nicht zum Besten bestellt. Dadurch erhöht sich das Risiko von Angriffen sowie von Verstössen gegen gesetzliche Vorschriften.
In vielen Unternehmen herrscht nach wie vor ein eher geringes Bewusstsein in Bezug auf Datenschutz und IT-Sicherheit. Eine Tatsache, an der auch Vorschriften, wie die DSGVO, nichts geändert haben. Zu diesem Schluss kommt der Global Data Risk Report 2019 des Security-Spezialisten Varonis.
Einfacher Zugriff auf sensible Daten
In 53% der im Rahmen der Studie untersuchten Unternehmen können beispielsweise alle Mitarbeitenden auf mehr als 1‘000 sensible Dateien zugreifen (Vorjahr: 41%) und durchschnittlich sind 22% der vorhandenen Ordner für alle Mitarbeitenden zugänglich. Nach Branchen betrachtet, ist das Problem exponierter, vertraulicher Dateien in Handelsunternehmen am geringsten, während in der Finanzbranche Mitarbeitende aufgrund weit gefasster Zugriffsrechte am häufigsten auf sensiblen Dateien zugreifen können.
38% der in Unternehmen verwendeten Passwörter laufen zudem nie ab, was beinahe einer Vervierfachung im Vergleich zum Vorjahr (10%) entspricht. Solche zeitlich unbegrenzten Passwörter sind laut den Autoren der Studie insbesondere deshalb problematisch, weil Angreifer dadurch ausreichend Zeit für Brute-Force-Angriffe haben.
Ungenutzte Daten und «Ghost User»
Problematisch ist auch, dass ungenutzte Daten oft gespeichert bleiben und nicht mehr benötigte Accounts nicht gelöscht werden. Denn ungenutzte Daten geraten oft in Vergessenheit, was das Risiko erhöht, dass ein Unternehmen gegen Vorschriften, wie die DSGVO oder den Sarbanes-Oxley Act (SOX) verstösst. Entsprechendes Gefahrenpotenzial besteht auch bei den nicht-deaktivierten Nutzerkonten: Mittels derartiger Accounts können sich so genannte «Ghost User» – beispielsweise ehemalige Mitarbeitende – auf einfache Weise Zugang zu internen Informationen verschaffen.
Gemäss der Varonis-Studie speichern 87% aller Unternehmen weltweit 1‘000 ungenutzte sensible Daten, 71% der Unternehmen sogar mehr als 5‘000. Auf die gesamte Datenmenge in einem Unternehmen bezogen werden durchschnittlich die Hälfte der Dateien (53%) nicht mehr genutzt, wobei sich in beinahe jedem Unternehmen (95%) in über 100‘000 Ordnern ungenutzte Dateien befinden. Im Bereich der Nutzerkonten ist jeder zweite Account (50%) nicht mehr aktiv, gegenüber 34% im Vorjahr und in 40% aller Unternehmen sind über 1‘000 derartiger Konten vorhanden.
Menge der sensiblen Daten und Zugriffsberechtigungen minimieren
Um die Risiken zu minimieren, empfehlen die Studienautoren die Menge der gesammelten, sensiblen Daten sowie die entsprechenden Zugriffrechte und die Zugriffsdauer möglichst gering zu halten. Veraltete Daten sollten zudem schnellstmöglich identifiziert und anschliessend richtig archiviert oder gelöscht werden, was auch in Bezug auf Nutzerkonten gilt. Auch regelmässige Kontrollen der Zugriffsberechtigungen auf Daten und Ordner erhöhen die Sicherheit weiter.
Für den Global Data Risk Report 2019 analysierte das Sicherheitsunternehmen Varonis die Zugriffsberechtigungen und das Active Directory von 758 Unternehmen aus der ganzen Welt.