Es scheint, als würde in der Geschäftswelt die Formel "Job in Gefahr = vertrauliche Daten in Gefahr" gelten. Das US-Marktforschunginstitut Ponemon veröffentlichte Besorgnis erregende Zahlen: 59 Prozent der Mitarbeiter, die in den vergangenen zwölf Monaten den Arbeitgeber gewechselt haben, klauten von der alten Firma vertrauliche Daten. Sie haben das ganz unabhängig davon getan, ob ihnen gekündigt wurde, sie einen Auflösungsvertrag unterschrieben haben oder aus freien Stücken gegangen sind.
Fliegt der Diebstahl auf, gibt man schnell dem bösen Arbeitnehmer die Schuld an der Misere. Adam Bosnian vom Sicherheitsunternehmen Cyber-Ark will die Schuld vom Angestellten auf das Unternehmen abwälzen. Denn das hätte besser überprüfen müssen, wie viel Macht seine Mitarbeiter haben und was sie mit ihr anstellen.
Besonders heikel wird es für Unternehmen, wenn Ehemalige zugreifen, die Administratorenrechte oder privilegierte Accounts besaßen. Denn sie konnten auf weit mehr Daten zugreifen als der durchschnittliche Mitarbeiter. Häufig können sie das auch noch lange nachdem sie ihren Arbeitsplatz geräumt haben. Unternehmen ist es oft zu aufwändig, die Daten für neue Mitarbeiter zu ändern.
Bosnian hat fünf Tipps zusammengestellt, wie CIOs ihr Unternehmen vor solchen Szenarien schützen können:
1. Verbessern Sie die Sicherheitsvorkehrungen rund um die privilegierten Accounts, etwa mit Verschlüsselung, Passwörtern und einer regelmäßigen Überprüfung.
Keine Passwörter in E-Mails oder auf Post-Its
2. Sie können das Risiko des Datenmissbrauchs reduzieren, indem sie Richtlinien für den Umgang mit vertraulichen Daten herausgeben.
3. Stellen sie sicher, dass Zugangsdaten und Passwörter regelmäßig geändert werden.
4. Achten Sie darauf, dass niemand im Unternehmen schludrig wird und Passwörter per E-Mail versendet oder auf Post-Its notiert.
5. Sperren Sie möglichst zeitnah den Account eines Mitarbeiters, der das Unternehmen verlassen hat.
Bei all diesen Maßnahmen sollten Sie immer im Hinterkopf haben, wie immens der Schaden sein kann, den ein ehemaliger Insider anrichten kann. Der erste große Schritt sollte hier sein, die privilegierten Accounts transparent und effizient zu verwalten. Sie sollten die Antworten auf die folgenden Fragen kennen: Wer hat wann zu welchen Daten Zugriff? Und warum werden diese Daten benötigt? Die Antworten auf diese Fragen leisten einen großen Beitrag für die Sicherheit ihres Unternehmens.
Adam Bosnian ist bei Cyber-Ark für die globale Geschäftsstrategie verantwortlich. Das Sicherheitsunternehmen hat seinen Sitz in Newton im US-Bundesstaat Massachusetts.