Mit einem Information-Rights-Management-System (IRM) können Unternehmen den Zugriff auf ihre Informationen kontrollieren und steuern. Dafür werden Dateiinhalte verschlüsselt und über Rollenkonzepte Zugriffsrechte definiert. Damit ist eine Kontrolle von Informationen unabhängig von Übertragungsweg oder Speicherort möglich.

Viele Compliance-Regelungen verlangen von Unternehmen, eine Zugriffskontrolle mit rollenbasierten Privilegien zu verbinden. Hierfür müssen die nutzungsbasierten Aktivitäten mit identifizierbaren Anwendern verbunden werden. Werden die Daten von verschiedenen Plattformen aus genutzt, müssen auch mehrere Identitäten möglicherweise miteinander verbunden werden. Die Anwender selbst haben dann nur in dem Umfang einen Zugriff auf die Informationen, wie es für die Erfüllung ihrer Aufgaben notwendig ist. Auf diese Weise kann ein Unternehmen einen breiten und damit riskanten Zugriff auf Systeme und Netzwerke verhindern.

Letztlich müssen die Nutzungsregeln plattformübergreifend einheitlich umgesetzt werden. Auf diese Weise können identitätsbasierende Risiken wie Datenverluste und Datenlecks ebenso vermindert werden wie Ausfallszeiten von Anwendungen. Überdies können interne Sicherheitsprobleme besser erkannt und bereinigt werden.

Grafik-IRM

Risiken, denen Unternehmen mit einem gut aufgesetzten IRM-System begegnen
können:

  • Cybervorfälle: Cybervorfälle gehören gemeinsam mit Betriebsunterbrechungen zu den größten Geschäftsrisiken weltweit. Dies gaben jeweils 37 Prozent von über 2.400 befragten Risikoexperten aus 86 Ländern für das Risikobarometer 2019 des Versicherers Allianz an. Dabei sind die Risiken für Cybervorfälle und Betriebsunterbrechungen zunehmend miteinander verknüpft: Ransomware-Angriffe oder IT-Ausfälle sind die am meisten gefürchteten Auslöser von Betriebs- und Serviceunterbrechungen (50% der Antworten). Aus Sicht deutscher Unternehmen dominiert weiterhin das Risiko einer Betriebsunterbrechung (48%) knapp vor dem Risiko eines Cybervorfalls (44%).
  • Compliance-Risiken: Die Unternehmens-IT muss zunehmend strengere Auflagen der Unternehmensführung und regulatorische Anforderungen erfüllen. Unter anderem müssen Unternehmen Cybervorfälle bzw. IT-Störungen rasch identifizieren können: Die neue europäische NIS-Richtlinie etwa verlangt eine „unverzügliche“ Meldung von IT-Störungen, die eine erhebliche Einschränkung tatsächlich verursachen oder auch nur möglicherweise verursachen können. Die europäische Datenschutz-Grundverordnung (DSGVO) verlangt für solche Fälle, dass die Unternehmen die Aufsichtsbehörden „unverzüglich und möglichst binnen 72 Stunden“ informieren. Auch müssen sie Betroffene „unverzüglich“ informieren. Bei versäumten Meldepflichten können die Behörden Bußgelder verhängen.

E-Book: Sicherer Dokumentenaustausch - Jetzt downloaden

  • Wirtschaftliche Schäden: Cyberkriminalität kostet heute nach Schätzungen des Center for Strategic and International Studies weltweit 600 Milliarden Dollar (520 Milliarden Euro) pro Jahr, gegenüber 445 Milliarden Dollar (385 Milliarden Euro) im Jahr 2014. Naturkatastrophen verursachen in den vergangenen zehn Jahren durchschnittlich hingegen einen Schaden von 208 Milliarden Dollar. Die Schäden, die aus digitalen Angriffen auf Unternehmen in Deutschland herrühren, können nur teilweise konkretisiert werden: Wenn durch Patentverletzungen und Plagiate Umsatzverluste eintreten und Gewinne entgehen, lässt sich der Schaden nur schwer zu beziffern. Kosten für Ermittlungs- und Ersatz- und Wiederherstellungsmaßnahmen oder Bußgelder hingegen sind in der Regel konkret darstellbar. Der durchschnittliche in Deutschland gemeldete Schaden beträgt laut dem Versicherer Allianz etwa zwei Mio. Euro.
  • Reputations- und Vertrauensverlust: Werden IT-Störungen öffentlich bekannt, müssen Unternehmen auch mit Reputationsverlusten rechnen, die aus negativer Medienberichterstattung herrühren können. Kunden wie Lieferanten nehmen möglicherweise Abstand zum Unternehmen. Möglicherweise verlassen auch Mitarbeiter in Folge das Unternehmen, weil sie das Vertrauen in die Geschäftsführung verlieren, die Probleme angemessen zu adressieren. Sie fürchten möglicherweise auch um ihr eigenes berufliches Ansehen und damit um ihre Karriere. Die aufgrund von Erpressung gezahlten Geldbeträge können vergleichsweise gering ausfallen gegenüber den Schäden, den aus einem Vertrauensverlust der Mitarbeiter entstehen können.

 

Geschrieben von Laura Schwarz


Informationssicherheit


Newsletter

Niederlassungen

Brainloop AG
Theatinerstrasse 12
80333 München
Germany
+49 (0) 89 444 699 0