Illustration: Absmeier, Arzao

Viele Einzelhändler sind in der Weihnachtszeit mehr denn je auf Saisonkräfte angewiesen. Eine bewährte Praxis. Allerdings ist sich die Branche oftmals nicht ausreichend bewusst, welche Sicherheits- und Datenschutzrisiken sie sich quasi mit einkauft. Im vergangenen Jahr haben Einzelhändler in den USA über 757.000 Zeitarbeiter eingestellt. Auch europäische Unternehmen suchen nicht zuletzt in der Logistik- und Transportbranche jedes Jahr tausende von befristeten Arbeitskräften, um mit dem Weihnachtsansturm auch nur annähernd Schritt zu halten.

Auf den ersten Blick ist das Einstellen zusätzlicher Mitarbeiter eine gute Sache für die Unternehmen. Leider nicht ausschließlich. Eine Reihe von Datenschutzvorfällen innerhalb der letzten Jahre zeigt warum. Das musste auch Nordstrom Online leidvoll erfahren. Hier hatte ein Mitarbeiter, der nur zeitlich befristet für den Retailer tätig war, Zugriff auf Kundendaten. Beim Umgang mit diesen Daten unterlief ihm ein Fehler, der schlussendlich zur Offenlegung von vertraulichen Daten wie Sozialversicherungsnummern, Kontonummern und weiteren Daten führte. In der Realität ist es so, dass saisonale Kräfte das Risiko eines Datenschutzvorfalls erhöhen. Es sei denn, ein Unternehmen verwaltet die Zugriffsberechtigungen dieser Mitarbeiter für Systeme und Daten exakt vom ersten bis zum letzten Arbeitstag.

Warum ist mit Saisonkräften ein derart hohes Risiko verbunden?

Große Retailer haben Hunderte, wenn nicht Tausende von Benutzerkonten mit unterschiedlichen Berechtigungsebenen, je nach dem welche Zugriffsberechtigungen für bestimmte Aufgaben vergeben werden müssen. Zahlreiche Unternehmen kämpfen in dieser Hinsicht mit Problemen, wenn sie Zugriffsberechtigungen für sämtliche Benutzerkonten, einschließlich derer von zeitlich befristet eingestellten Mitarbeitern, exakt verwalten sollen. Aktuelle Zahlen spiegeln dies auch hinsichtlich der Selbsteinschätzung der Unternehmen: Nur 15 % vertrauen demnach ihren Programmen zur Zugriffskontrolle. Der übliche Fehler gerade im Einzelhandel ist es temporären Mitarbeitern zu weitreichende Berechtigungen zuzuweisen. Dazu kommt, dass diese Berechtigungen meist nicht über die gesamte Verweildauer der Beschäftigten im Unternehmen korrekt verwaltet werden. Hat ein Angreifer beispielsweise Zugriff auf ein temporäres Benutzerkonto mit sehr weit gefassten Berechtigungen, kann er auf praktisch jedes System zugreifen und umfassenden Schaden verursachen. Und es gibt noch ein weiteres Risiko. Unternehmen sind oftmals sehr nachlässig darin, einmal vergebene Zugriffsberechtigungen wieder zu entziehen, wenn der betreffende Mitarbeiter die Firma verlässt. Wenn man an dieser Stelle die Kontrollen schleifen lässt, haben Zeitarbeiter die Möglichkeit vertrauliche Systeme zu durchsuchen, Daten zu stehlen und auch dann noch auf Systeme und Informationen zuzugreifen, wenn sie das Unternehmen längst verlassen haben. Keine besonders wünschenswerte Vorstellung.

Es gibt allerdings einige Sicherheitsmaßnahmen, die sich bewährt haben, und die dazu beitragen das durch befristete Arbeitnehmer entstehende Risiko zu verringern:

Vergeben Sie Zugriffsberechtigungen ausschließlich nach dem »Least Privilege«-Prinzip. Eine der wichtigsten Grundlagen für Einzelhändler ist die Vergabe von Berechtigungen nach dem Prinzip der geringsten Rechtevergabe. Jeder erhält nur genau die Berechtigungen, die er braucht um seine Aufgaben zu erledigen. Für den Einzelhandel ist dieses Prinzip nicht nur wichtig, sondern zudem vergleichsweise einfach umzusetzen. Saisonkräfte benötigen naturgemäß weniger Zugriffsberechtigungen als die angestellte Belegschaft. Wer also nur die Rechte vergibt, die notwendig sind, um bestimmte Aufgaben zu erfüllen, der senkt das Risiko von Datenmanipulation und Datenklau aufgrund von Rechten, die jemand nicht hätte haben sollen.
Schulen Sie das Sicherheitsbewusstsein. Auch bei Saisonkräften. Jeder in einem Unternehmen Beschäftigte sollte verantwortlich handeln und verantwortlich sein. Schulungen sollten die Sicherheitsrichtlinien des Unternehmens berücksichtigen, die gängigen Szenarien von Insider-Bedrohungen ansprechen und helfen, verräterische Anzeichen gängiger Hackermethoden, die sich gegen den Einzelhandel richten (und besonders in der Weihnachtszeit häufiger vorkommen), besser zu erkennen.
Aktivieren und deaktivieren Sie Benutzerkonten umgehend. Um produktiv zu arbeiten, brauchen neue Benutzer ihre Zugriffsberechtigungen so schnell wie möglich. Genauso wichtig ist es aber, die Berechtigungen unmittelbar nach Beendigung des Arbeitsverhältnisses wieder zu deaktivieren, das heißt, bestehende Zugriffsrechte wieder zu entziehen. Wenn IT-Administratoren dies versäumen, kann der Benutzer selbst weiterhin auf das Konto zugreifen, und solche verwaisten Konten sind für externe Angreifer ein lukratives Ziel.

Durch die ordnungsgemäße Verwaltung und Überwachung des gesamten Benutzerlebenszyklus auch bei zeitweilig Beschäftigten, senken Einzelhändler das Risiko einer Datenschutzverletzung. Und das während der für den Umsatz wichtigsten Zeit des gesamten Jahres.

Todd Peterson, One Identity

Todd Peterson ist Security Evangelist bei One Identity und verantwortet das Produktmarketing für die Identity and Access Management (IAM) -Lösungen des Unternehmens.

NEWS | IT-SECURITY | TIPPS

IT-Sicherheit: 4 Tipps gegen interne Risiken

5. November 2019

Vielen Unternehmen ist gar nicht klar, wie viele Bedrohungen für die IT-Sicherheit vor allem intern entstehen. Allzu oft können sie nicht ermitteln, worin die Ursache eines Problems genau besteht oder verlieren den Überblick über den Umfang und die Vielzahl der Implikationen, die aus einem IT-Sicherheitsproblem entstehen können. Vor allem interne Risiken sind ein kontinuierliches, sich…