"In der Mehrzahl aller Unternehmen haben zuviele Mitarbeiter Zugriff auf Daten, die hochsensibel sind - aber für die Tätigkeit des Betreffenden völlig irrelevant", erklärt Matthias Schulte-Huxel, CSO für die Berliner Software 8MAN. Das System ist weltweit führend in der schnellen, ressourcenübergeifenden Analyse der Berechtigungssituation und der nahtlosen sowie automatischen Dokumentation von Zugriffsrechten. "Höchste Sicherheit für sensible Daten, bei denen ein Leck fatale Folgen hätte, fängt innen an und ist eine prompte Voraussetzung für den Schutz nach außen", so Schulte-Huxel weiter.

EU-Datenschutz-Grundverordnung

Erst vor kurzem wurde die europäische Grundverordnung zum Datenschutz verabschiedet. Die Richtlinie zeigt deutlich, dass der Unbefugte im eigenen Haus eine große Gefahr ist. Hat ein Mitarbeiter Zugriff auf sensible Daten, die nicht mit der Stellenbeschreibung für seine Arbeit nötig sind, kann im Ernstfall ein hohes Bußgeld fällig werden.

Bis zu vier Prozent vom weltweit erwirtschafteten Jahresumsatz kann die Strafzahlung bei Datenlecks über interne Kanäle betragen. Als Verstoß gilt dabei die Nichteinhaltung der Grundsätze in Bezug auf die Verarbeitung personenbezogener Daten (Artikel 5) sowie der Bestimmungen zur Einwilligung betroffener Personen (Artikel 7). Neben dem Schutz ist auch der revisionssichere Nachweis zur Berechtigungssituation entscheidend. "Unternehmen können sich nur dann wehren, wenn nachgewiesen werden kann, welcher Mitarbeiter zu welcher Zeit Zugriff hatte. Der lückenlose Nachweis ist extrem wichtig", sagt der 8MAN-CSO Schulte-Huxel.

Schutz gegen mögliche Inside Jobs

Auch langjährig unauffällige Mitarbeiter können plötzlich ihre Meinung ändern - beeinflusst durch einen Wettbewerber und dessen Versprechen, oder durch eine Ideologie. 8MAN arbeitet auf allen drei Ebenen der Access Rights und dokumentiert: Wer kann aktuell wo auf welche Daten zugreifen, wer hat in der Vergangenheit zugreifen können, wer darf in der Zukunft zugreifen.

Neben dem Administrator können auch einzelne Data Owner in der Struktur Berechtigungen vergeben, beispielsweise Abteilungsleiter. Doch auch hier gilt: Das Vieraugenprinzip wird durch die IT-Abteilung abgesichert. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt im IT-Grundschutzkatalog deutliche Leitlinien für die Vergabe von Zugriffsrechten für Lesen, Schreiben und Ausführen vor. "Wer 8MAN nutzt, hat immer einen unbestechlichen Zeugen", erklärt Matthias Schulte-Huxel von 8MAN.

Quelle: 8MAN / Protected Networks GmbH (ots)