Datenlecks in Behörden: Wer im Amt weiß mehr als nötig?

• Access Governance wird nur unzureichend betrieben

• Ein wirksames Access Rights Management (ARM) kann Abhilfe schaffen
  

Berlin, 25. August 2016 – Bund, Länder und Kommunen sind durch das E-Government-Gesetz des Bundes dazu verpflichtet, elektronische Kommunikation und Online-Verwaltungsdienste für den Bürger zu ermöglichen. Auch intern sind Ämter schon längst im elektronischen Zeitalter angekommen. Im behördlichen Mitarbeitergefüge kommt es jedoch regelmäßig zu Veränderungen: Wechsel der Abteilung, Kündigung, Elternzeit oder Beförderung, stets ändern sich auch die Zugriffsrechte der einzelnen Personen. Die IT-Abteilung erfährt davon jedoch meist zuletzt, und die Rechte an Einsichtnahme und Bearbeitung von Dateien werden unzureichend angepasst. „Eine Behörde verwaltet hochsensible Daten der Bundesbürger. Ob es sich dabei um das Finanzamt oder die Bundesagentur für Arbeit handelt: Jedes Leck ist ein GAU und kann extrem schwerwiegende Folgen haben, bis zur Klage gegen den Deutschen Staat wegen Missbrauchs personenbezogener Daten“, sagt Matthias Schulte-Huxel, CSO bei 8MAN. Ein kontinuierliches Access Rights Management (ARM) ist zur Überwachung und Dokumentation der Berechtigungssituation Pflicht, um jederzeit den Nachweis über Berechtigungen und deren Verwendung führen zu können. Auch bietet ARM das Rüstzeug für den sicheren Betrieb der IT-Systeme sowie Umgang mit der IT-Compliance und es bildet damit eine Brücke zur IT-Governance.

Scharfer Datenschutz für öffentliche Verwaltung

Auch die öffentliche Verwaltung wird dabei in regelmäßigen Abständen mit Auditierungen kontrolliert. Bei diesen Rezertifizierungen müssen Benutzerkonten und Berechtigungen überprüft werden. 8MAN ist eine Lösung, die übergreifend sowohl von Unternehmen als auch von Behörden eingesetzt werden kann und zum einen revisionssicher protokolliert, zum anderen die gesamte Berechtigungslage systemübergreifend auswertet. „Nach dem ersten Einsatz von 8MAN gibt es keinen ‚Unbefugten’ mehr. Ein Betrug der Software ist nicht möglich“, sagt Matthias Schulte-Huxel. Dabei wird nicht nur die bestehende Berechtigungslage transparent, auch können die Abteilungen und Fachbereiche Zugriffsrechte einfacher vergeben. Als Data Owner definierte Nutzer können per Mausklick Rechte an Mitarbeiter vergeben oder sie zurücksetzen, eine automatische Zeitbegrenzung kann ebenso eingerichtet werden. Damit werden Situationen wie Elternzeitvertretungen oder Abteilungswechsel bei Auszubildenden automatisch und von Anfang an korrekt gelöst. Das Vier-Augen-Prinzip erfordert dabei jedoch stets eine Gegenkontrolle der IT-Abteilung.

Schutz nach innen und außen

Mitarbeiter mit unklar definierten Zugriffsberechtigungen zählen zu den größten Schwachstellen in einer IT-Infrastruktur – neben dem Feind von außen. Europaweit gehören Bundes- und Landesbehörden zu den am häufigsten attackierten Cyber-Zielen. Bei unsauberen Berechtigungslagen steigt das Manipulationsrisiko weiter, zudem bergen gehackte Identitäten, mit mehr Rechten als nötig, ein zusätzliches Risiko. Auch Spionage ist ein mögliches Szenario: „In der IT haben Einbrecher oft leichtes Spiel. Sie hinterlassen normalerweise keine wesentlichen Spuren und können auch kaum zurückverfolgt werden. Nicht so mit 8MAN – hier steht rund um die Uhr eine Wache zur Verfügung“, sagt Schulte-Huxel von 8MAN.

8MAN (www.8man.com) ist eine führende Lösung für Access Rights Management (ARM) in Microsoft- und virtuellen Server-Umgebungen und schützt damit Unternehmen vor unberechtigten Zugriffen auf sensible Daten. Die 8MAN Kernfunktionen umfassen: Permission Analysis, Security Monitoring, Documentation & Reporting, Role & Process Optimization und User Provisioning. Die in Deutschland von Protected Networks entwickelte Software-Lösung setzt Maßstäbe für professionelle Netzwerksicherheit und agile IT-Organisation und bündelt modernste Funktionalität mit der Erfüllung gängiger Sicherheits- und Compliance-Richtlinien.