Die IT-Sicherheit leidet zunehmend unter unzureichend kontrollierten Zugriffen durch externe Dienstleister, Lieferanten und Partner. Eine aktuelle internationale Studie des Ponemon Instituts in Zusammenarbeit mit Imprivata beleuchtet genau diese Problematik. Die Untersuchung zeigt eindrücklich, wie riskant unregulierter Drittzugang zu internen Netzwerken sein kann – insbesondere im deutschen Gesundheitswesen.
Unzureichende Kontrolle über externe Zugriffe auf Netzwerke
Insgesamt wurden die Antworten von 573 Teilnehmenden aus Deutschland analysiert, darunter 63 aus Einrichtungen des Gesundheitswesens. Auch wenn die Studie nicht repräsentativ ist, liefert sie wertvolle Hinweise auf bestehende Sicherheitslücken und Verbesserungspotenziale.
Ein zentrales Problem: Viele Kliniken und Unternehmen gewähren externen Partnern – darunter Honorarärzte, Labore oder andere Akteure der Versorgungskette – Zugriff auf interne IT-Systeme. Dies geschieht oft im Sinne effizienter Zusammenarbeit und optimaler Patientenversorgung. Dennoch besteht hier ein hohes Risiko, da diese externen Nutzer nicht den gleichen organisatorischen oder disziplinarischen Vorgaben unterliegen wie internes Personal.
Fehlende einheitliche Strategien und mangelnde Transparenz
IT-Verantwortliche stoßen häufig an Grenzen: Sie können weder sicherheitsrelevante Anforderungen konsequent durchsetzen noch sicherstellen, dass geltende Zugriffsrichtlinien eingehalten werden. Laut Studie besitzen 58 % der deutschen Befragten keine zentrale Strategie zur Verwaltung externer Zugangsrechte.
Ein weiteres Problem: Der Überblick über externe Zugriffspunkte fehlt. Die Folge: 51 % der Befragten berichteten von Cyberangriffen oder Datenschutzverletzungen innerhalb des letzten Jahres, die auf externe Systeme oder Partner zurückzuführen waren. In 34 % der Fälle wurden Dritten zu weitreichende Berechtigungen eingeräumt – ein klares Zeichen für fehlende Zugriffskontrollen.
Dokumentation und Monitoring oft lückenhaft
Nur 56 % der deutschen Organisationen führen eine vollständige Dokumentation aller Drittparteien mit Netzwerkzugang. Fehlende Ressourcen (45 %) sowie mangelnde zentrale Steuerung (37 %) wurden als Hauptgründe für diese Defizite genannt. Ohne saubere Dokumentation lässt sich kaum nachvollziehen, was mit externen Zugriffen passiert – und wer im Ernstfall verantwortlich ist.
IT-Sicherheitsmaßnahmen für Dritte müssen Priorität erhalten
Zwei grundlegende Maßnahmen sind essenziell: Erstens müssen externe Konten und Berechtigungen lückenlos dokumentiert und verwaltet werden. Zweitens bedarf es einer kontinuierlichen Überwachung der Aktivitäten externer Benutzer und Systeme. Letzteres gestaltet sich besonders herausfordernd, da viele Systeme auch ohne aktive Benutzereingriffe interagieren.
Positiv ist: 77 % der befragten Unternehmen gaben an, bereits ein sogenanntes Vendor-Privileged-Access-Management (VPAM) einzusetzen. Diese Lösungen ermöglichen die gezielte Steuerung von Zugriffsrechten externer Nutzer. Allerdings glauben nur 52 % dieser Unternehmen, dass ihre VPAM-Lösungen effektiv genug sind, um einen Missbrauch privilegierter Zugänge zu verhindern.
Fazit: Verbesserungspotenzial bei externer Zugriffskontrolle bleibt hoch
Die Studie macht deutlich: Es gibt erheblichen Nachholbedarf in der strukturierten Verwaltung und Überwachung externer Zugänge. Unternehmen sollten externe Partner bereits vor Beginn der Zusammenarbeit gründlich prüfen und in klare Sicherheitsprozesse einbinden. Nur so lässt sich langfristig ein hohes IT-Sicherheitsniveau aufrechterhalten.