Externe Mitarbeiter als Sicherheitsrisiko

Der Feind im Inneren

Externe Mitarbeiter von IT-Dienstleistern, Implementierungspartnern oder Beratungshäusern gehen in Anwenderunternehmen ein und aus. Die IT muss dafür sorgen, dass diese kein Sicherheitsrisiko darstellen.

Top Secret, Bildquelle: Thinkstock/Photodisc

Häufig gelten Angriffe von außen sowie von den eigenen Mitarbeitern – sei es aufgrund von Fahrlässigkeit oder aus voller Absicht – als größtes Gefahrenpotential für die Unternehmens-IT. Darüber hinaus gibt es hierzulande jedoch kaum ein Großunternehmen, das nicht in irgendeiner Weise auf die Dienste externer Firmen zurückgreift. Ausgeklügelte Sourcing-Strategien sollen dabei die Zusammenarbeit bestmöglich steuern. Über das komplette Auslagern bestimmter Prozesse hinaus, kommt es häufig vor, dass externe Anbieter mit ihren eigenen Mitarbeitern vor Ort im Anwenderunternehmen unterwegs sein müssen. Man denke nur an Unternehmensberater, die monatelang in sämtlichen Abteilungen Präsenz zeigen oder an die Mitarbeiter von IT-Implementierungspartnern, die nicht selten gemeinsam mit der IT-Abteilung und ausgewählten Power-Usern die Einführung neuer Systeme vor Ort koordinieren. Doch welches Sicherheitsrisiko stellen die externe Mitarbeitern dar, die im Anwenderunternehmen ein- und ausgehen? Und inwieweit sind die IT-Verantwortlichen für dadurch entstehende, mögliche Sicherheitslücken sensibilisiert?

Der Schlüssel zum Königsreich

Hinsichtlich des Risikofaktors externer Mitarbeiter von Dienstleistern oder Beratungshäusern herrschen verschiedene Meinungen vor. So glaubt Dr. Matthias Graupner, Consultant bei dem IT-Dienstleister Comparex, dass externe Mitarbeiter prinzipiell kein höheres Risiko für die Unternehmenssicherheit bergen als interne – sofern die notwendigen Sicherheitsmaßnahmen konsequent umgesetzt werden. „Das gilt insbesondere für Externe, die längerfristig im Unternehmen beschäftigt werden. Die Ein- und Ausgliederung dieser Kollegen bedarf einer sorgfältigen Planung sowie Vor- und Nachbereitung“, betont Graupner. Deutlich kritischer äußert sich Max Waldherr, Manager Systems Consulting bei dem zu Dell gehörenden Anbieter Quest. Er schätzt mögliche Sicherheitsrisiken als durchaus real ein, insbesondere wenn es um den unkontrollierten Zugriff auf sensible Unternehmensdaten geht. Denn die in diesem Fall oftmals übliche Vergabe sogenannter „Keys to the Kingdom“ biete keine aufgabenbezogene Einschränkung von Rechten. Zudem besteht ein weiteres Problem darin, so Waldherr, dass nach getaner Arbeit oftmals die Berechtigungen nicht entzogen werden und somit potentielle Angriffspunkte bestehen bleiben. In diesem Zusammenhang rät nicht zuletzt Oliver Deibler, Global ICT Operations Manager bei Comparex, zu gestiegener Achtsamkeit. Denn allein aus Gründen des Datenschutzes sollte der Umgang mit Mitarbeitern externer Dienstleister ernst genommen werden, da sie oftmals über annähernd identische Rechte wie reguläre interne Mitarbeiter verfügen.

Neben der Einhaltung des Datenschutzes gilt es, mögliche Sicherheitslücken durch Social Engineering (siehe Definitionskasten) im Auge zu behalten. „Gerade Mitarbeiter von Cloud- oder Outsourcing-Anbietern sind optimale Angriffsvektoren, da sie in der Regel Zugriff auf mehr als ein Kundensystem haben“, betont Dr. Matthias Rosche, Director Business Development bei dem Sicherheitsspezialisten Integralis. Von daher sollten die entsprechenden Mitarbeiter hinsichtlich solcher Angriffsszenarien ausreichend geschult und sensibilisiert sein. „Und bei längerer Tätigkeit sind sie in die betriebliche Schulung der eigenen Mitarbeiter mit einzubinden“, ergänzt Matthias Graupner.

Auf Herz und Nieren prüfen

Wie aufgezeigt dürfen IT-Verantwortliche das Gefahrenpotential von externen Mitarbeitern, die in den eigenen Reihen unterwegs sind, besser nicht unterschätzen. Mit bestimmten Maßnahmen lassen sich die Risiken reduzieren. Dies beginnt bereits beim Auswahlprozess, bei dem externe Firmen auf Herz und Nieren geprüft werden sollten. Laut Oliver Deibler sollte man bereits bei der Vertragsgestaltung aktiv werden und entsprechende Klauseln sowie einen separaten Vertrag zur Auftragsdatenverarbeitung vorsehen. Dabei gilt der Nachweis bestimmter Zertifizierungen generell als probates Mittel zur Absicherung. So gehören laut Matthias Rosche Standards wie ISO 2700x mittlerweile zur Grundausstattung eines IT-Dienstleisters. Ähnliches berichtet Max Waldherr von Quest: „In der Regel wird eine Verpflichtung aller mit der Datenverarbeitung befassten Mitarbeiter auf den Datenschutz und nicht selten eine Zertifizierung nach ISO 27001 sowie BSI-IT-Grundschutz gefordert.“ Hinzu komme die Einhaltung und Auskunftspflicht für einige Wirtschaftsprüfungsvorgänge. An dieser Stelle verweist Matthias Graupner darauf, dass grundlegende Gefährdungen und notwendige Maßnahmen im BSI-Grundschutzkatalogen unter den Bausteinen „Outsourcing“ und „Personal“ aufgeführt sind. Und Sebastian Rohr, Technischer Geschäftsführer der Accessec GmbH, fordert schließlich: „Grundsätzlich sind Grundschutz- oder ISO-Zertifizierungen eine hilfreiche Orientierung, die zeigt, dass Unternehmen sich mit dem Thema auseinandergesetzt haben. Spannender sind jedoch die persönlichen Zertifizierungen der Mitarbeiter wie CISSP, TISP, CISA, CISM, CGEIT  etc., die durch ihren Ehrenkodex den Mitarbeiter zu ehrlicher und aufrichtiger Verhaltensweise verpflichten.“

Desweiteren kommt es auf die Branche an, die Dienstleistungen nach außen vergibt. Die strengsten Vorgaben existieren wohl im Umfeld staatlicher Institutionen. Ein polizeiliches Führungszeugnis der externen Mitarbeiter kann ebenso ein wichtiges Puzzleteil darstellen wie die Erkenntnisse der Verfassungsschutzbehörden des Bundes. „Vor allem im öffentlichen Bereich werden vermehrt Sicherheitsüberprüfungszeugnisse erforderlich“, bestätigt auch Matthias Rosche. Hierbei regelt das Sicherheitsüberprüfungsgesetz (SÜG) des Bundes die Voraussetzungen und das Verfahren zur Überprüfung von Personen, die mit bestimmten sensiblen Tätigkeiten betraut. Darüber hinaus gibt es weitere Branchen, die verstärkt auf den Sicherheitsaspekt achten. „So haben Branchen wie Banken und Versicherungen von Natur aus höhere Sicherheitsstandards“, ergänzt Max Waldherr. Allerdings seien Sicherheitsqualifizierungen durchaus auch in andere Branchen üblich, so zum Beispiel im Automobilsektor, wo der Zugriff auf Designinformationen streng reglementiert ist.

Sicherer Zugriff auf das ERP-System

Wurde festgelegt, dass Mitarbeiter von außen im eigenen Betrieb zum Einsatz kommen, sollten Benutzer- und Identity-Management entsprechend angepasst werden. Hierzu rät Oliver Deibler: „Im täglichen Betrieb sind  Zugriffsrechte, Remote-Zugriffe, Begrenzung von Active Directory Accounts z.B. mit Ablaufdatum und ähnliches zu berücksichtigen, um die Risiken zu minimieren.“ Selbstverständlich müssten ebenfalls der Zugang zum internen Netzwerk mit Nicht-Firmen-Rechnern sowie die Ablage von Dokumenten geregelt werden. Ein weiterer sensibler und von daher streng reglementierter Bereich, sei der Zugang zu ERP-Systemen und die dortigen Rechte für externe Mitarbeiter. Generell sollte dabei laut Matthias Roche immer folgendes gelten: „Nur so viel Zugriff wie nötig.“

Überdies sollte man die externen Mitarbeiter darauf hinweisen, dass alle Zugriffe überwacht und protokolliert werden. Und: Gerade bei Remote-Zugriffen ist eine zeitliche Begrenzung bzw. Deaktivierung des Accounts sehr wichtig. Laut Sebastian Rohr gilt es, den Weg zur Erstellung von Identitäten in einem Prozess zu fixieren. Hierzu gehören neben einer klaren Definition, folgende Fragen: Wer kann IDs für Externe beantragen und was sind die hierfür notwendigen Attribute? Im Anschluss daran müssen die erhobenen Daten auf jeden Fall validiert und mit vorhandenen Informationen abgeglichen werden, um im Antragsprozess keine Dubletten zu erzeugen.

Mobile Endgeräte im Griff

Nicht selten bringen Externe ihre eigene Hardware mit ins Unternehmen. Galt hier in der Vergangenheit der Laptop bevorzugtes Arbeitsmittel drängen heute zunehmend mobile Endgeräte wie Smartphone oder Tablet-PC in den Vordergrund. Doch egal welches Device – soll mit diesen Geräte auf Daten und IT-Systeme des Anwenders zugegriffen werden, gilt höchste Alarmstufe im Netzwerk. Von daher betont Sebastian Rohr, dass das konkrete Verbot, solche Geräte ins interne Netz zu lassen, in Anwenderunternehmen zum Standard gehört. Denn kein IT-Leiter könne heute guten Gewissens offene WLANs oder freie Netzwerkdosen dulden, die einem Berater mit seinem eigenen Gerät Zugriff auf das Unternehmensnetzwerk gewähren.

Will man kein rigoroses Verbot aussprechen und dennoch auf Nummer sicher gehen, sollte man Zugriffsrechte nicht nur personenbezogen vergeben. „Stattdessen müssen die Rechte basierend auf dem Gerät, mit dem auf die Informationen zugegriffen wird, vergeben werden“, so Max Waldherr. Dadurch erhalte zum Beispiel ein Consultant, der einen durch die Firma gemanagten Desktop-PC verwendet, volle Zugriffsrechte, doch ein Consultant, der mit eigenem Gerät von außerhalb des Firmennetzes zugreift, nur eingeschränkte Berechtigungen. „Zudem ist eine klare Zugriffsbeschränkung z.B. über Network Access Control (NAC) wichtig“, fordert Matthias Rosche. Der Zugang zum internen Netz sollte nur nach Prüfung des Sicherheitslevels auf dem Endgerätes erfolgen. Unter Umständen würden auch die Etablierung virtueller Desktops oder der Zugriff auf ein Gäste-LAN für die entsprechenden Tätigkeiten ausreichen. „In jedem Fall sollte vor dem Einsatz genau geklärt werden, welche Berechtigungen und Zugriffe benötigt werden“, rät Rosche.

 

Was ist Social Engineering?

Beim Social Engineering geht es um die Manipulation von Personen, um diese in ihrem Verhalten zu beeinflussen und dadurch bestimmte, meistens vertrauliche oder unberechtigte Informationen zu erhalten. Die Einsatzmöglichkeiten reichen von der Käufermanipulation über die unberechtigte Nutzung von kostenpflichtigen Webservices bis hin zur Industriespionage. Solche Angriffe zur Informationsbeschaffung können auf verschiedenen Ebenen erfolgen: Im persönlichen Gespräch, während eines Telefonats oder beim Austausch von Daten. In dieser Konstellation ist der persönliche Kontakt entscheidend, das aufgebaute Vertrauen, die Gutgläubigkeit, Dankbarkeit oder andere menschlichen Eigenschaften. Anders gestaltet sich das Eindringen von Außen auf die Unternehmens-IT. Hierbei geht es um das Ausspähen von Passwörtern, Zugangsberechtigungen, Log-Ins und Authentifizierungen.

Quelle: www.itwissen.info


Bildquelle: Thinkstock/Photodisc

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok