Sind Ihre ehemaligen Angestellten ein Datensicherheitsrisiko?
Wer kündigt, tut dies in der Regel, um das Unternehmen definitiv zu verlassen. Doch im digitalen Zeitalter ist der Abschied oft komplizierter. Verschiedene Umfragen haben in den letzten Jahren untersucht, ob und wie sich frühere Mitarbeitende nach ihrem Abgang Zutritt zu den digitalen Räumen ihres früheren Arbeitgebers verschaffen. Die Resultate sind alarmierend und zeigen, dass in manchen Firmen Handlungsbedarf herrscht.
#Security Awareness #Security Risk Assessment #Security Strategy Architecture
Wenn sich Ex-Mitarbeitende in den digitalen Sphären ihrer früheren Arbeitgeber herumtreiben, führt das längst nicht immer zu spektakulären Hacks oder Datendiebstählen. Trotzdem ergibt sich ein signifikantes Sicherheitsrisiko. In einigen Fällen haben derartige unbefugte digitale Streifzüge zu weltweiten Schlagzeilen geführt. Zum Beispiel im Falle der amerikanischen SunTrust Banks; dem Unternehmen kamen vor drei Jahren die persönlichen Daten von anderthalb Millionen Kunden abhanden[i]. Der Täter: Ein unzufriedener früherer Mitarbeiter. In die gleiche Kategorie gehörte der Täter, der die Server eines holländischen Internetprovider löschte, nachdem er auf die Kundendatei zugegriffen hatte[ii]. Auch ein früherer IT-Administrator des amerikanischen IC-Herstellers Allegro verursachte grosse Schäden – er war aufgrund seiner früheren Position in der Lage, Daten in der Finanzabteilung zu löschen, sodass der Jahresbericht des Unternehmens nicht erstellt werden konnte[iii].
Nach der Kündigung einfach das Passwort behalten
Die neuste Studie des Sicherheitsunternehmens Beyond Identity zum Thema Offboarding zeigt[iv], dass in 1000 befragten Firmen (in der angelsächsischen Welt) 83 Prozent der Befragten nach ihrem Abgang in einem Unternehmen immer noch auf ihre Accounts bei ihrem früheren Arbeitgeber zugreifen. 24 Prozent der Befragten gaben zu, dass sie nach dem Ausscheiden aus dem Unternehmen absichtlich ein Passwort behalten haben. Die Konsequenz: Fast drei Viertel der befragten Arbeitgeber wurden nach eigenen Angaben schon durch derartige Aktivitäten negativ beeinträchtigt. In einer früheren Umfrage des Sicherheitsunternehmens OneLogin unter 500 IT-Entscheidungsträgern gab gerade einmal die Hälfte der Befragten an, sie seien «sehr zuversichtlich», dass ihre ehemaligen Mitarbeiter keinen Zugriff auf die IT-Systeme ihrer Firma hätten. Und 20 Prozent der befragten Unternehmen gaben zu, dass die Datensicherheit in ihrem Unternehmen schon durch ehemalige Mitarbeiter verletzt worden sei[v]. Das ist nicht überraschend, wenn der Abkoppelungsprozess dieser Mitarbeiter in Betracht gezogen wird. Die Beyond Identity Studie ermittelte, dass in zehn Prozent aller Fälle ganz einfach einem Kollegen die Austrittsformalitäten übernahm. Nur bei neun Prozent der Befragten war ein IT-Spezialist in den Ausstiegsprozess involviert. Nur die Hälfte der Befragten wurde beim Abgang aufgefordert, Firmengeräte zurückzugeben; mehr als die Hälfte gaben ihre digitalen Schlüssel nie zurück, und nur ein Drittel löschten ihre Mitarbeiter-Accounts.
Vertrauen ist gut, Kontrolle ist viel besser
Die Gründe dafür, Firmendaten vor Mitarbeitern zu schützen, die nichts mehr mit dem Unternehmen zu tun haben, liegen auf der Hand – ganz abgesehen davon, dass es für eine Firma katastrophale Folgen haben kann, wenn zum Beispiel ihre Kundendaten gestohlen werden. Datenschutz liegt schliesslich in der Verantwortung des Unternehmens.
Wie also können in dieser Situation Ihre Daten schützen? Natürlich ist es vorerst einmal nützlich (wenn auch nicht immer einfach), nur vertrauenswürdige Personen einzustellen. Deshalb gilt auch hier das Motto: Vertrauen ist gut, Kontrolle ist besser.
Zugriff nur für jene, die zugreifen müssen
Erstellen Sie Zugriffsregelungen und gewähren Sie nur jenen Mitarbeitern Zugriff auf Daten, die diese für ihre Arbeit benötigen. Informieren Sie neue Mitarbeiter in Ihrem Unternehmen darüber, dass sie im Falle eines Firmenaustritts alle Geräte abgeben und Zugangsdaten löschen müssen. Auch eine Vertraulichkeitsvereinbarung, die auch nach dem Ausscheiden aus der Firma wirksam bleibt, kann zum Arbeitsvertrag gehören. Was die technische Seite betrifft, ist es leicht möglich, ein System einzurichten, das die Benutzerzugriffe aller Mitarbeiter auf Unternehmensdaten verfolgt und diese im Notfall deaktivieren lässt. Wenn ein Mitarbeiter die Firma verlässt, sollten die entsprechenden Konten in jedem Fall so schnell wie möglich deaktiviert werden. Im Falle einer Entlassung, kann es Sinn machen, diese Deaktivierung schon vor der offiziellen Kündigung vorzunehmen. Es ist wichtig, diese Datenschutzaspekte in einem Abschlussgespräch abzuhaken. Dazu gehört, dass ein IT-Verantwortlicher die verschiedenen existierenden Zugangspunkte identifiziert und deaktiviert und auch sicherstellt, dass alle Firmengeräte abgegeben werden.
Cybersecurity ist eine integrale Disziplin
Die oben beschriebenen Risikofaktoren, aber auch die Tatsache, dass hybriden Belegschaften heute von irgendwoher auf Ressourcen zugreifen können, rufen nach einem neuen Ansatz für das Identitäts- und Zugriffsmanagement[vi]. SecurID, die Identitätsplattform des weltweit tätigen Identitätsspezialisten RSA, kann Sie bei der Einführung von Best Practices für die Gewährung von Zugriffs- und Konto-Privilegien unterstützen. SecurID MFA offeriert eine ganze Reihe moderner Authentifizierungsmethoden für den sicheren Zugriff auf Daten und Anwendungen sowie Ressourcen in der Cloud. Multifaktor-Authentifizierung ist von entscheidender Bedeutung, um das Risiko zugriffsbasierter Angriffe zu verringern[vii]. SecurID und UMB können Ihnen dabei helfen, dieses Ziel zu erreichen. UMB ist ein RSA Secureworld Titanium Partner. Bei UMB betrachten wir Cybersecurity als integrale Disziplin in der ganzen IT-Landschaft und verstehen die Herausforderungen einer sich schnell verändernden Welt. Cybersecurity wird bei UMB nicht isoliert, sondern als Teil der IT-, Workplace- und Digitalisierungs-Konzepte betrachtet. Bitte kontaktieren Sie uns, wenn Sie mehr wissen möchten.
[i] SunTrust Banks ex-employee may have stolen 1.5 million customer records | ZDNet
[iii] IT administrator set 'time bomb' malware to torpedo ex-employer's year-end audit (ibtimes.co.uk)
[iv] Survey: The Great Resignation’s Impact on Company Security | Beyond Identity
[v] Why ex-employees may be your company's biggest cyberthreat | TechRepublic
[vi] Identitätsmanagement: Was Sie wissen. Was Sie haben. Was Sie sind. (umb.ch)
[vii] Resources (securid.com)
