Nicht Wirtschaftsspione, Hacker oder gar Virenprogrammierer – die eigenen Mitarbeiter stellen in einigen Bereichen das größte Sicherheitsrisiko für Unternehmen dar. Einen wirksamen Schutz vor Betrug, Diebstahl und Korruption in den eigenen vier Wänden sehen Experten in der kontrollierten Vergabe von Zugriffsrechten.
Ohne zentrales Rechtemanagement fehlt IT-Verantwortlichen jegliche Kontrolle darüber, wer auf welche Benutzerkonten und Daten zugreifen kann.
Eine aktuelle Studie der Wirtschaftsprüfungsgesellschaft KPMG unter 1.001 Unternehmen aus allen Branchen gibt Anlass zur Sorge: Rund 80 Prozent der befragten Betriebe sehen ein ernstes Problem im betriebsinternen Datenklau. Bei „Verletzungen der Geschäftsgeheimnisse“ gehen demnach 56 Prozent der kriminellen Machenschaften auf das Konto der eigenen Belegschaft. Die Ursachen dafür: Oftmals fehlen schlichtweg die geeigneten Instrumente, um Risikofaktoren und Compliance-Schwachstellen aufspüren zu können. Häufig mangelt es zudem an Kontrolle und Transparenz über die vergebenen Zugriffsrechte. Unternehmenskritische Informationen landen so schnell und vor allem ohne großen Aufwand für Langfinger in den falschen Händen.
Ein Blick hinter die IT-Kulissen offenbart: Ohne ein zentrales Rechtemanagement fehlt IT-Verantwortlichen jegliche Kontrolle darüber, wer auf welche Benutzerkonten zugreifen kann. Weil an diesen Konten sämtliche zugewiesenen Rechte des entsprechenden Anwenders auf unternehmensinterne Daten und Anwendungen hängen, haben unseriöse Benutzer leichtes Spiel. Betroffen davon sind Geschäftsgeheimnisse, Urheberrechte ebenso wie Finanzkonten und vertrauliche Informationen über Kunden oder Mitarbeiter. Anders ausgedrückt: Wer einen Zugang zu einem solchen Konto erhält, kann sich ungehindert aus dem Datenpool des Unternehmensservers bedienen. Kein Wunder also, dass das Thema Risikoprävention bei IT-Rechten in deutschen Betrieben aktuell ganz oben auf der Agenda steht, wie die KPMG-Studie zeigt: 80 Prozent der Befragten sollten ihr Berechtigungskonzept überarbeiten und Firmendaten somit vor unbefugten Zugriffen schützen.
Chaotische Berechtigungsstrukturen laden zum Datenklau ein
Die Verantwortung für den Verlust sensibler Daten tragen Firmen in der Regel selbst, da nur 27 Prozent der Unternehmen eine e-Crime Versicherung besitzen. Zudem ist oft noch nicht einmal auf organisatorischer Ebene geklärt, wer wofür autorisiert ist, oder welche Unternehmensdaten als besonders kritisch einzustufen sind. Ein Umstand, der sich dementsprechend auch in chaotischen Berechtigungsstrukturen wiederfindet und so zur Angriffsfläche für Missbrauch wird. Aber nicht nur der Diebstahl digitaler Identitäten ist ein Problem. Es wird auch leicht übersehen, Zugriffsrechte zu löschen, sobald ein Mitarbeiter seine Position innerhalb des Unternehmens wechselt. Verlässt zum Beispiel ein Personalverantwortlicher seine Abteilung und tritt intern eine neue Stelle an, besteht mitunter die Gefahr, dass seine Zugriffsrechte nicht auf die neuen Anforderungen angepasst werden. Der Ex-Personaler hat somit weiterhin Einblick in Akten von Mitarbeitern, ehemaligen Beschäftigten oder externen Personen.
Prävention durch zentrale Rechtevergaben und Kontrollen
Die kontrollierte Vergabe und zentrale Verwaltung von Zugriffsrechten mithilfe einer Identity-Management-Lösung beugen der Entwendung sensibler Daten zu einem großen Teil vor. Ein solches System bietet eine richtliniengesteuerte Rechtevergabe, einen umfassenden Überblick über alle Berechtigungen von zentraler Stelle aus sowie einen sicheren Rechteentzug. Kommt es zu einem internen Wechsel eines Mitarbeiters, lässt sich ein De-Provisioning-Prozess anstoßen, durch den sein Benutzerkonto und sämtliche Zugriffsberechtigungen automatisch gesperrt und nach einem vorab definierten Zeitraum endgültig gelöscht werden. Gleichzeitig erhält der Mitarbeiter neue Berechtigungen auf Daten, die für seine aktuelle Arbeit relevant sind. Das Ergebnis: Unternehmen können sensible Daten so bereits frühzeitig schützen. Berechtigungs-Audits geben jederzeit und auf Knopfdruck Aufschluss darüber, welcher Anwender Zugriffsrechte auf welche Daten besitzt oder welche Mitarbeiter für eine bestimmte Dateiablage berechtigt sind – einem Rechtechaos, wie bei Abteilungswechsel, Unternehmensfusionen oder Umorganisationen oftmals der Fall, wird vorgebeugt. Darüber hinaus dokumentiert das System die Verwaltung der digitalen Identitäten revisionssicher, macht Vergabe und Entzug von Zugriffsberechtigungen nachvollziehbar und garantiert so die Einhaltung von Compliance-Vorgaben.
Informationssicherheit in nur wenigen Schritten
Um ein Unternehmen schrittweise von existierenden Sicherheitslücken zu befreien und künftigen Datenmissbrauch vorzubeugen, ist ein mehrstufiges Vorgehen sinnvoll: Zunächst müssen gewachsene Berechtigungen analysiert und Sicherheitslücken ausfindig gemacht werden. Damit ist die Basis für ein System geschaffen, mit dem eine zentrale und weitgehend automatisierte Verwaltung der Berechtigungen möglich wird. Nur so kann Sicherheitsrisiken und Compliance-Verstößen vorgebeugt werden. Im Anschluss erfolgt die Einführung eines einheitlichen Rollens-Managements mit Genehmigungs-Workflows: Dies ermöglicht rechtskonform automatisierte Prozesse für die Rechtevergabe, die durchgängig sind und deren Umgehung nicht unentdeckt bleiben. Damit werden nur den wirklich autorisierten Anwendern Zugriffsrechte auf Informationen gewährt – also einheitliche, effiziente und Compliance-konforme Prozesse nach dem Vier-Augen-Prinzip. Die letzten Schritte zum zentralen Management von Identitäten und Rechten umfassen den automatisierten Import der User-Daten aus beispielsweise AD in ein Identity Access Management-System sowie die Verbindung mit einem HR-System. Damit kann auch die Nutzung anderer IT-Kerndienste wie E-Mail, Telefonie, Software- und Computerverwaltung etc. abgesichert werden. Dass eine gute Kontrolllösung, die lückenlose Dokumentation und die Umsetzung eines transparenten Identity Managements dringend notwendig ist, beweist denn auch die Erhebung von KPMG: Laut der Studie rechnen zwei Drittel der befragten Unternehmen in den nächsten Jahren mit einer Zunahme der Kriminalität im eigenen Betrieb.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Über den Autor: Thomas Reeb ist Leiter Vertrieb & Unternehmensentwicklung bei der C-IAM GmbH.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d1/c3/d1c3ea28cb57ef0c781c3a2ffdb64873/0129392960v2.jpeg "Sicherheitsforschende haben eine Schwachstelle in Google Gemini entdeckt, bei der böswillige Akteure eine unauffällige Payload in eine Kalendereinladung einbetten, die es ihnen ermöglicht, die Datenschutzmaßnahmen zu umgehen und sensible Daten des Nutzers zu stehlen, ohne dass dieser interagieren muss. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/30/27/3027664b0fb0bc9c398378e320ef390b/0128993714v2.jpeg "Cyberkriminelle sind aktiver denn je. Diese deutschen Unternehmen sind ihnen 2026 bereits zum Opfer gefallen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/47/ea/47eaea73f1cd6fe1da92eb6934b65745/0129487546v2.jpeg "Apple hat eine kritische Zero-Day-Sicherheitslücke im Dynamic Link Editor geschlossen, die alle unterstützten Apple-Betriebssysteme betrifft und Angreifern ermöglicht, beliebigen Code auszuführen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/bd/7b/bd7b5eab48b26e20fc849eb12e1bb6ae/0129167482v1.jpeg "KI-Anwendungen sind im Alltag angekommen. Der steigende Bedarf an Daten rückt Fragen zu Datenschutz, Governance und Vertrauen stärker in den Fokus, zeigt die Cisco-Studie. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/0f/ce/0fce7e5966d735b98a26a524b389bb40/0129086020v1.jpeg "Die beiden Gründer von Zeropoint Lavi Friedman (li.) und Joseph Gertz (re.) setzen auf einen Ansatz, der Netzwerkgrenzen nicht absichert, sondern physisch neu zieht. Keine Pakete rein, keine Daten raus – nur menschliche Interaktion und Pixel. (Bild: Zeropoint)")
:quality(80)/p7i.vogel.de/wcms/14/4d/144dfeb59fa22d4f60c9bc5f94784088/0129483540v1.jpeg "Das Jahr 2026 markiert einen Wendepunkt für die Cybersicherheit und Security-Teams bleibt nicht viel Zeit sich darauf einzustellen. (Bild: © Jss - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/68/4968cfb619f90613cca8ba77511df54d/0129472744v2.jpeg "Das BSI empfiehlt, klassische asymmetrische Verschlüsselungsverfahren bis Ende 2031 nicht mehr zu verwenden, da sie aufgrund der Entwicklungen im Quantencomputing nicht sicher sind, was einen dringenden Umstieg auf hybride Verfahren, die quantensichere Algorithmen integrieren, erforderlich mache. (Bild: Alex - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/da/cd/dacd0e89cad4438353a1e68ce241ee08/0129347964v1.jpeg "Für die zentrale Verarbeitung von Log- und Ereignisdaten liefert die Windows-Ereignisweiterleitung die technische Basis. (Bild: © TommyNa - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/55/235504bbda4efcf043fbef7c7acc23d3/0129423267v2.jpeg "Omnichannel-Inboxen verbinden alle Kundenkanäle in einer Plattform, aber ohne Zero-Trust-Architektur wird diese zentrale Schnittstelle zum Einfallstor für Angreifer. (Bild: © kucherav - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/a0/63a08ef8cf2f357846891924a0c362b5/0129422042v1.jpeg "Active Directory Passwort-Resets explodieren insbesondere bei hybrider Arbeit. Sichere Self-Service-Passwort-Reset-Tools steuern dem entgegen. (Bild: Specops)")
:quality(80)/p7i.vogel.de/wcms/9f/4c/9f4c8b769319bae704bc65017a4ada98/0129424999v2.jpeg "Cyber-Resilienz 2026 bedeutet Handlungsfähigkeit unter laufendem Angriff, aber unkontrollierte Identitäten untergraben genau diese Fähigkeit und machen Systeme unsteuerbar. (Bild: © AminaDesign - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f1/db/f1dbe322f0469f58d749a8d7439e02aa/0129455085v1.jpeg "ITDR-Lösungen erkennen Konfigurationsprobleme sowie Anomalien in Echtzeit, bevor Angreifer gestohlene Zugangsdaten ausnutzen können. (Bild: aldomurillo / gettyimages)")
:quality(80)/p7i.vogel.de/wcms/5f/ce/5fceb535aae0ba446c45d422e7c0c740/0129495522v2.jpeg "Kommt der Wunsch nach einer Nachbesserung der DSGVO einer Aufweichung des Datenschutzes gleich? (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/85/eb/85ebcb9d59c789244b0672056a79aa6d/0129519820v2.jpeg "Europas Cybersecurity-Startups erfinden die Abwehr neu: Auf dem Web Summit in Lissabon stellten junge Unternehmen aus Portugal, Deutschland und Estland Lösungen für Post-Quantum-Bedrohungen, souveräne KI und explodierende Cloud-Risiken vor. (Bild: © Bundi - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/96/28/9628fcb02935bfd7e1c928d4b7e39141/0124106201v2.jpeg "Mehr als die Hälfte der befragten deutschen Firmen war bereits Opfer eines Datenlecks oder einer Cyberattacke, die durch oder mittels Zugriff aus der eigenen Lieferkette erfolgte. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/96/b9961e46daca5420dccaedff43b6f292/0127851745v1.jpeg "Unternehmen, die KI in großem Maßstab einsetzen, benötigen ein IAM, das diese Entitäten gleichberechtigt behandelt, streng überwacht und mit klar definierten Verantwortlichkeiten verknüpft. (Bild: © Isasoulart - stock.adobe.com)")