»Nightmare Before Christmas« oder wie Sie verhindern, dass Saisonkräfte zum Sicherheitsalbtraum werden

Illustration: Absmeier, Arzao

Viele Einzelhändler sind in der Weihnachtszeit mehr denn je auf Saisonkräfte angewiesen. Eine bewährte Praxis. Allerdings ist sich die Branche oftmals nicht ausreichend bewusst, welche Sicherheits- und Datenschutzrisiken sie sich quasi mit einkauft. Im vergangenen Jahr haben Einzelhändler in den USA über 757.000 Zeitarbeiter eingestellt. Auch europäische Unternehmen suchen nicht zuletzt in der Logistik- und Transportbranche jedes Jahr tausende von befristeten Arbeitskräften, um mit dem Weihnachtsansturm auch nur annähernd Schritt zu halten.

 

Auf den ersten Blick ist das Einstellen zusätzlicher Mitarbeiter eine gute Sache für die Unternehmen. Leider nicht ausschließlich. Eine Reihe von Datenschutzvorfällen innerhalb der letzten Jahre zeigt warum. Das musste auch Nordstrom Online leidvoll erfahren. Hier hatte ein Mitarbeiter, der nur zeitlich befristet für den Retailer tätig war, Zugriff auf Kundendaten. Beim Umgang mit diesen Daten unterlief ihm ein Fehler, der schlussendlich zur Offenlegung von vertraulichen Daten wie Sozialversicherungsnummern, Kontonummern und weiteren Daten führte. In der Realität ist es so, dass saisonale Kräfte das Risiko eines Datenschutzvorfalls erhöhen. Es sei denn, ein Unternehmen verwaltet die Zugriffsberechtigungen dieser Mitarbeiter für Systeme und Daten exakt vom ersten bis zum letzten Arbeitstag.

Anzeige

 

Warum ist mit Saisonkräften ein derart hohes Risiko verbunden?

Große Retailer haben Hunderte, wenn nicht Tausende von Benutzerkonten mit unterschiedlichen Berechtigungsebenen, je nach dem welche Zugriffsberechtigungen für bestimmte Aufgaben vergeben werden müssen. Zahlreiche Unternehmen kämpfen in dieser Hinsicht mit Problemen, wenn sie Zugriffsberechtigungen für sämtliche Benutzerkonten, einschließlich derer von zeitlich befristet eingestellten Mitarbeitern, exakt verwalten sollen. Aktuelle Zahlen spiegeln dies auch hinsichtlich der Selbsteinschätzung der Unternehmen: Nur 15 % vertrauen demnach ihren Programmen zur Zugriffskontrolle. Der übliche Fehler gerade im Einzelhandel ist es temporären Mitarbeitern zu weitreichende Berechtigungen zuzuweisen. Dazu kommt, dass diese Berechtigungen meist nicht über die gesamte Verweildauer der Beschäftigten im Unternehmen korrekt verwaltet werden. Hat ein Angreifer beispielsweise Zugriff auf ein temporäres Benutzerkonto mit sehr weit gefassten Berechtigungen, kann er auf praktisch jedes System zugreifen und umfassenden Schaden verursachen. Und es gibt noch ein weiteres Risiko. Unternehmen sind oftmals sehr nachlässig darin, einmal vergebene Zugriffsberechtigungen wieder zu entziehen, wenn der betreffende Mitarbeiter die Firma verlässt. Wenn man an dieser Stelle die Kontrollen schleifen lässt, haben Zeitarbeiter die Möglichkeit vertrauliche Systeme zu durchsuchen, Daten zu stehlen und auch dann noch auf Systeme und Informationen zuzugreifen, wenn sie das Unternehmen längst verlassen haben. Keine besonders wünschenswerte Vorstellung.

Es gibt allerdings einige Sicherheitsmaßnahmen, die sich bewährt haben, und die dazu beitragen das durch befristete Arbeitnehmer entstehende Risiko zu verringern:

Anzeige

 

  • Vergeben Sie Zugriffsberechtigungen ausschließlich nach dem »Least Privilege«-Prinzip. Eine der wichtigsten Grundlagen für Einzelhändler ist die Vergabe von Berechtigungen nach dem Prinzip der geringsten Rechtevergabe. Jeder erhält nur genau die Berechtigungen, die er braucht um seine Aufgaben zu erledigen. Für den Einzelhandel ist dieses Prinzip nicht nur wichtig, sondern zudem vergleichsweise einfach umzusetzen. Saisonkräfte benötigen naturgemäß weniger Zugriffsberechtigungen als die angestellte Belegschaft. Wer also nur die Rechte vergibt, die notwendig sind, um bestimmte Aufgaben zu erfüllen, der senkt das Risiko von Datenmanipulation und Datenklau aufgrund von Rechten, die jemand nicht hätte haben sollen.
  • Schulen Sie das Sicherheitsbewusstsein. Auch bei Saisonkräften. Jeder in einem Unternehmen Beschäftigte sollte verantwortlich handeln und verantwortlich sein. Schulungen sollten die Sicherheitsrichtlinien des Unternehmens berücksichtigen, die gängigen Szenarien von Insider-Bedrohungen ansprechen und helfen, verräterische Anzeichen gängiger Hackermethoden, die sich gegen den Einzelhandel richten (und besonders in der Weihnachtszeit häufiger vorkommen), besser zu erkennen.
  • Aktivieren und deaktivieren Sie Benutzerkonten umgehend. Um produktiv zu arbeiten, brauchen neue Benutzer ihre Zugriffsberechtigungen so schnell wie möglich. Genauso wichtig ist es aber, die Berechtigungen unmittelbar nach Beendigung des Arbeitsverhältnisses wieder zu deaktivieren, das heißt, bestehende Zugriffsrechte wieder zu entziehen. Wenn IT-Administratoren dies versäumen, kann der Benutzer selbst weiterhin auf das Konto zugreifen, und solche verwaisten Konten sind für externe Angreifer ein lukratives Ziel.

 

Durch die ordnungsgemäße Verwaltung und Überwachung des gesamten Benutzerlebenszyklus auch bei zeitweilig Beschäftigten, senken Einzelhändler das Risiko einer Datenschutzverletzung. Und das während der für den Umsatz wichtigsten Zeit des gesamten Jahres.

Todd Peterson, One Identity

Todd Peterson ist Security Evangelist bei One Identity und verantwortet das Produktmarketing für die Identity and Access Management (IAM) -Lösungen des Unternehmens.

 

IT-Sicherheit: 4 Tipps gegen interne Risiken

Vielen Unternehmen ist gar nicht klar, wie viele Bedrohungen für die IT-Sicherheit vor allem intern entstehen. Allzu oft können sie nicht ermitteln, worin die Ursache eines Problems genau besteht oder verlieren den Überblick über den Umfang und die Vielzahl der Implikationen, die aus einem IT-Sicherheitsproblem entstehen können. Vor allem interne Risiken sind ein kontinuierliches, sich…

SIEM-Lösungen – Schwächen und Angriffe erkennen

Datendiebstahl, gezielte Sabotage oder Überlastung von IT-Systemen können Unternehmen massiv gefährden. Wer sein Unternehmen schützen will, muss sein Unternehmensnetzwerk sehr genau beobachten, um unautorisierte Zugriffe anhand von Anomalien zu erkennen. Ein Security-Information- und Event-Management-System (SIEM) leistet dabei wertvolle Hilfe. Ein IT-Wachdienst, den man jetzt auch mieten kann.

Bug-Bounty-Programme erfolgreich aufsetzen, aber wie?

Cyberangriffe beherrschen weiterhin die Schlagzeilen. Nicht zuletzt, weil Datenschutzverletzungen zunehmend schwerwiegende Auswirkungen auf Geschäftsprozesse und Unternehmen haben. Und wo in einem Netzwerk Schwachstellen sind, da werden sie vermutlich auch irgendwann ausgenutzt. Man muss allerdings nicht tatenlos zusehen bis es tatsächlich passiert. Eine Methode, die sich inzwischen etabliert hat, sind sogenannte Bug-Bounty-Programme. Darüber werden erfahrene White-Hat-Hacker…

Identity Governance and Administration: IGA messbar machen – in 5 praktikablen Schritten

  Die meisten Unternehmen verzichten darauf zu messen, wie effektiv ihre Identity-Governance-and-Administration-Lösung (IGA) tatsächlich ist. Falls sie es doch tun, dann wahrscheinlich über eine indirekte Messgröße, zum Beispiel indem man erfasst, wie hoch das Risiko einer Datenschutzverletzung ist oder ob bereits ein Angriff stattgefunden hat oder nicht. Um die komplexe Betrachtung für unsere Zwecke zu…

Europäische Unternehmen signalisieren wachsende Sicherheitslücke im Zuge der digitalen Transformation

Während unzutreffende Prognosen zur digitalen Transformation langsam verblassen erreichen wir in puncto Business eine neue Ära. Weltweit, und in einem bisher beispiellosen Ausmaß haben die digitale Transformation und neue, erstmals digitalisierte Geschäftsumgebungen eine Welle von Vorteilen mit sich gebracht. Größere Effizienz, bessere Kundenerfahrung und Kundenbindung, um nur einige zu nennen.   Das ist in Europa…

Ertragsoptimierung bei Cloud-Data-Warehouse-Investitionen

Immer mehr datengestützte IT-Systeme werden in die Cloud verlagert und dazu gehört auch das Data Warehouse. Neue Cloud-Data-Warehouse-Lösungen (CDW) sollen noch umfassendere Datenfunktionen, eine bessere Leistung und mehr Flexibilität als herkömmliche lokale Datenbanken bieten.   Laut einer neuen Umfrage des TDWI (The Data Warehousing Institute) im Auftrag von Talend bieten neue Cloud-Data-Warehouse-Lösungen (CDW) noch umfassendere…

Immer weniger Bewerber für Ausbildungsplätze

Die geburtenschwachen Jahrgänge machen sich zunehmend bemerkbar bei den Auszubildenden: In 68 Prozent der Unternehmen gingen in den vergangenen fünf Jahren weniger Bewerbungen ein, nur in 10 Prozent erhöhte sich die Anzahl, in 18 Prozent der Firmen blieb sie unverändert. Das ist das Ergebnis der neuesten ifo-Randstad-Personalleiter-Befragung [1]. Zwei Drittel der Firmen gaben aber an,…

Begrenztes Risiko: IAM für das Internet der Dinge

Wir geben Nutzern nicht einfach ihre Anmeldedaten und erlauben ihnen dann unbegrenzten Zugang zum Netzwerk – wieso sollten wir nicht die gleichen Regeln auf vernetzte Geräte anwenden?   Ich möchte Sie bitten, sich folgendes Szenario vorzustellen. In einem Nebenraum eines nordamerikanischen Kasinos beschäftigt sich die schnelle Eingreiftruppe der Cybersicherheitsabteilung mit einem Alarm. Demzufolge arbeite irgendwo…

Künstliche Intelligenz: Freund oder Feind der Cybersicherheit?

Technologien, die auf künstlicher Intelligenz basieren, sind inzwischen weit verbreitet und für hunderttausende IT-Sicherheitsexperten auf der ganzen Welt zugänglich. Forscher müssen dank künstlicher Intelligenz nicht mehr am Computer Unmengen von Zahlen und Daten analysieren. Der Siegeszug der KI hat einige Gründe. Einer davon ist die zur Verfügung stehende Rechenleistung. Wirtschaftliche Cloud-Lösungen und bedienerfreundliche Tools haben…

IT-Sicherheitsteams müssen besonders gefährdete Personen besser schützen

Bekanntlich ist der Mitarbeiter aufgrund seiner menschlichen Stärken und Schwächen das schwächste Glied in der Sicherheitsarchitektur von Unternehmen gegen Cyberkriminelle. Hilfreich ist ein Index zur Bewertung besonders gefährdeter Mitarbeiter durch Cyberangriffe. Proofpoint stellt den Targeted Attack Protection Index (TAP) vor. Dabei handelt es sich um einen Index, mit dessen Hilfe die IT-Security-Teams in den Unternehmen…

IT-Sicherheitsexperten bekunden mangelndes Vertrauen in Privileged Access Management

  Cybersicherheit als solche und insbesondere der Schutz von vertraulichen Daten waren vielleicht nie wichtiger als gerade jetzt. Die allgemeine Aufmerksamkeit richtet sich inzwischen sehr viel stärker auf das Thema. Das gilt gleichermaßen für Regierungen und Aufsichtsbehörden. Die Risiken sind höher denn je. Kein Unternehmen, keine Organisation kann sich mehr hinter einer magischen »BlackBox« verschanzen,…

Dateiaustausch im technischen Umfeld

Im Maschinen- und Anlagenbau werden innerhalb virtueller Teams häufig große und änderungsintensive Dokumente ausgetauscht. Hierfür empfiehlt sich der Einsatz spezieller Dateiaustauschplattformen mit Projekträumen. Entwicklungsprojekte bearbeiten Unternehmen des Maschinen- und Anlagenbaus heute vielfach in virtuellen Teams. Die Projektbeteiligten tauschen dabei Daten und Dokumente aus, die nicht nur vertraulich sind und damit sensibel behandelt werden müssen –…

Der IT-Security-Markt legt bis 2020 um mehr als 15 Prozent zu

Um durchschnittlich mehr als sieben Prozent jährlich wächst der deutsche IT-Security-Markt in den kommenden zwei Jahren. Von 2018 bis 2020 soll er von insgesamt gut 5,7 Milliarden Euro auf fast 6,6 Milliarden Euro zulegen. Das entspricht einem Plus von mehr als 15 Prozent. Dies prognostiziert der  Anbietervergleich »ISG Provider Lens Germany 2019 – Cyber Security…

Investitionen in die Cybersicherheit

Wie man (notwendige) Investitionen in die Cybersicherheit intern überzeugend verargumentiert.   Wenn man so oft direkt mit unterschiedlichen Unternehmen und Menschen zu tun hat wie der Vertrieb, erkennt man schnell bestimmte Reaktionsschemata. Ebenso wie zuverlässig wiederkehrende Schwierigkeiten beim Implementieren von IT-Sicherheitsmaßnahmen. Den größten Teil unserer Zeit verbringen wir damit zu erläutern warum Cybersicherheit derart wichtig…

Gute Basisarbeit in der IT-Sicherheit fängt 90 Prozent aller Cyber-Attacken ab

90 Prozent aller Cyberangriffe würden scheitern, wenn Unternehmen die Basisarbeit in der IT-Sicherheit leisten, meinen IT-Sicherheitsdienstleister. Unternehmen setzen bei der IT-Sicherheit meist auf die neuesten Tools. Allerdings helfen auch die innovativsten Lösungen nicht, wenn sie die Grundlagen der IT-Security vernachlässigen. »Unternehmen, die die klassischen IT-Security-Themen Segmentierung, Identity Management und Patch Management richtig in den Griff…