Die IT-Security beim Zugriff von Dritten auf das eigene Netzwerk liegt im Argen. Wo die Schwachstellen liegen, zeigt eine aktuelle Studie.
Ein IT-Security-Report zeigt, dass auch der externe Zugriff auf das eigene Netzwerk ein Sicherheitsrisiko darstellt. Internen Bedrohungen wird meist deutlich mehr Aufmerksamkeit geschenkt.
(Bild: DC Studio – stock.adobe.com)
Ende 2024 ist das Ponemon Institut in Zusammenarbeit mit Imprivata der Frage nachgegangen, ob der genehmigte Zugriff Externer auf das eigene Firmennetzwerk ein IT-Sicherheitsrisiko darstellt. Die Antwort war ein klares Ja. In Deutschland gab mehr als die Hälfte der 573 Studienteilnehmer an, dass ihre Organisation bereits Opfer eines Datenlecks oder einer Cyberattacke aus der eigenen Lieferkette war. Die Ursachen und Schwachstellen bieten auch Ämtern und Behörden wertvolle Hinweise darauf, worauf bei der Vergabe von Zugriffsrechten an Dritte zu beachten ist.
Um Kosten zu minimieren und Prozesse zu verschlanken, wird Externen der Zugriff auf das eigene Netzwerk eingeräumt. Das Problem: Externe Anwender und Applikationen sind operativ entkoppelt. IT-Sicherheitsverantwortliche haben keine Möglichkeit, die Umsetzung notwendiger sicherheitsrelevanter Maßnahmen durchzusetzen. Sie können die Einhaltung der Richtlinien für digitale Identitäten, mit denen der Zugriff auf ihre IT-Netzwerke geregelt wird, nicht erzwingen. Und dennoch: 58 Prozent der Befragten gaben an, keine einheitliche Strategie für die Verwaltung von Zugängen und Berechtigungen für Externe zu haben.
Die Folgen eines Verstoßes oder Angriffs...
(Bild: Imprivata)
Kaum Überblick über Fremdzugriffe
Dieses Defizit hat Folgen: 51 Prozent der Befragten aus Deutschland sagten, dass ihre Organisation in den zwölf Monaten vor der Befragung von einer Datenverletzung oder einem Cyberangriff betroffen gewesen sei. Aus der (vertrauten) Infrastruktur eines Lieferanten oder anderer Externer sei auf die eigene IT-Infrastruktur zugegriffen worden. 34 Prozent sahen die Ursache darin, dass Externen zu weitreichende Zugriffsrechte eingeräumt wurden.
Umfassende Dokumentation fehlt
Immerhin gaben 56 Prozent der Befragten an, dass ihre Organisation über eine umfassende Dokumentation aller dritten Parteien mit Zugriff auf das Netzwerk verfüge. Keine oder mangelhafte Dokumentation führten die Befragten auf fehlende Ressourcen für die Überwachung von Drittanbietern (45 Prozent) und fehlende zentrale Kontrolle über die Beziehungen zu ihnen (37 Prozent) zurück. Ohne Dokumentation ist nicht klar, was Externe mit ihrem Zugang machen. Diese mangelhafte Kontrolle erschwert schließlich die Diagnose, wer im Schadensfall zum Beispiel Daten kompromittiert hat.
Sicherheit der Lieferkette wird Priorität
Was sind die beiden wichtigsten operativen Maßnahmen für die IT-Sicherheit bei Zugriffen Dritter? Die Zugänge (Konten und Berechtigungen) müssen dokumentiert und verwaltet werden, und die Aktivitäten von externen Anwendern sowie Systemen müssen überwacht werden. Die Überwachung der Systeme ist dabei allerdings kritisch zu bewerten, da sie auch ohne bewusste oder aktive Benutzerinteraktion aktiv sein können.
Die gute Nachricht: 77 Prozent der Befragten bejahten, dass ihre Organisation über ein Vendor-Privileged-Access-Management (VPAM) verfüge. Damit lässt sich regeln, wie der Zugriff eines Externen erfolgen darf und welche Rechte er im Netzwerk hat. Allerdings sind nur 52 Prozent dieser Gruppe davon überzeugt, dass ihre VPAM-Lösung den Missbrauch von privilegierten Zugängen Externer wirksam verhindert.
Hoher Aufwand und Komplexität
Die Gründe dafür, dass Zugriffe durch Externe trotz VPAM-Lösungen und gutem Willen in vielen Organisationen nicht ausreichend verwaltet und überwacht werden, liegen unter anderem in einer Überforderung der IT-Abteilungen und einer zusätzlichen Belastung der vorhandenen Ressourcen. Das gaben 38 Prozent der Befragten aus Deutschland an. Sie sagten weiterhin aus, dass die größten Hindernisse bei der Verringerung der Zugriffsrisiken durch Externe in der fehlenden Kontrolle oder Steuerung (47 Prozent), der Komplexität der Compliance- und gesetzlichen Anforderungen (59 Prozent) und den unzureichenden Ressourcen oder Budgets (27 Prozent) liegen würden.
Als Fazit lässt sich festhalten, dass sowohl in der Administration als auch in der Überwachung externen Zugriffs großes Optimierungspotenzial besteht. Dieses liegt unter anderem darin, Dritte bereits zu Beginn der Zusammenarbeit umfassend zu prüfen.
Welcher Bereich ist am ehesten verantwortlich für die Erteilung von Zugriffsrechten an Dritte?
(Bild: Imprivata)
Keine Vorab-Prüfung
62 Prozent gaben an, dass ihre Organisation die Sicherheits- und Datenschutzpraktiken Dritter nicht bewerte, bevor diesen Zugriff auf sensible oder vertrauliche Daten gewährt wird. Ihnen zufolge liegt der Hauptgrund im Vertrauen der Organisation darauf, dass Dritte die Informationen schützen. 61 Prozent räumten ein, dass es auch an Ressourcen zur Überprüfung und Verifizierung fehlt.
Im Gegensatz dazu sagten ebenfalls 62 Prozent der Befragten aus, dass sie interne Mitarbeiter einer gründlichen Überprüfung unterziehen würden, ehe sie Zugriffsrechte vergeben. Organisationen scheinen also strengere Regeln für die Bewertung interner Benutzer anzuwenden als für Externe. Dies könnte eine Erklärung dafür sein, warum fast die Hälfte aller Befragten der Meinung ist, dass der Fernzugriff durch Dritte die größte Angriffsfläche sei.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
In der Realität lässt die Bekämpfung von Risiken im Zusammenhang mit dem Zugriff Externer also noch viel zu wünschen übrig. Die Chance für die IT-Sicherheit besteht darin sicherzustellen, dass Maßnahmen und Tools strategisch und konsequent angewendet werden – für alle privilegierten Zugriffsanforderungen. Die Zugriffssicherheit muss sowohl für interne Benutzer als auch für Dritte transparent, dokumentiert und effektiv geregelt werden.
Über die Studie
Das Ponemon Institut befragte Ende 2024 1.942 IT- und IT-Sicherheitsverantwortliche in den USA (733), Großbritannien (398), Deutschland (573) und Australien (238), die mit der Verwaltung von privilegierten Zugängen sowohl von Dritten als auch von internen Benutzern in ihren Organisationen vertraut sind. Die Befragten gehören Organisationen und Unternehmen aus folgenden Branchen an: Gesundheitswesen (11 Prozent), der öffentliche Sektor (23 Prozent), Industrie und Fertigung (32 Prozent) sowie Finanzdienstleistungen (34 Prozent).
Dirk Wahlefeldt Manager Unimate Tech Services bei der Imprivata GmbH
:quality(80)/p7i.vogel.de/wcms/43/b3/43b33e50faf1938562316b4f4bebf829/0129178528v2.jpeg "Am 29. Januar 2026 befasste sich der Deutsche Bundestag in zweiter und dritter Lesung mit dem KRITIS-Dachgesetz. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1f/28/1f2891478d7d50c2f8b65e9e9bb6f27f/0129164635v1.jpeg "Im Open-Code-Repository der deutschen Verwaltung gehört GA-Lotse zu den Top-20-Projekten. (Bild: © Gesundheitsamt FFM)")
:quality(80)/p7i.vogel.de/wcms/eb/02/eb02d55fe7a871827bdaff0371dc08bd/0129090301v3.jpeg "Dr. Daniela Dylakiewicz, Amtschefin der Sächsischen Staatskanzlei und Beauftragte für Informationstechnologie des Freistaates Sachsen. (Bild: Pawel Sosnowski)")
:quality(80)/p7i.vogel.de/wcms/be/a9/bea990c1fd84d42ab3b65d50432e04c2/0129126870v1.jpeg "Bundessozialministerin Bärbel Bas mit den Mitgliedern der Sozialstaatskommission bei der Übergabe des Abschlussberichts am 27. Januar 2026 im Berliner Amtssitz (Bild: © BMAS)")
:quality(80)/p7i.vogel.de/wcms/30/5d/305d4b954505630521c0c617eea3ebe9/0129121214v2.jpeg "Wenn Register-Informationen digital abrufbar, aktuell und konsistent vorliegen, können Prüf- und Freigabeentscheidungen schneller getroffen werden, weil Nachforderungen, Nachreichungen und erneute Prüfschleifen deutlich seltener werden. (Bild: © Andrew505 – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/de/97/de97e038bbb2b7498038409889d3c8dd/0129120074v2.jpeg "Die staatliche EUDI-Wallet soll persönliche Dokumente und Identitätsdaten sicher in einer digitalen Brieftasche vereinen. (Bild: © nurnobi - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a2/42/a242ec9f0a7d76191c8160a98b9219be/0129046694v2.jpeg "Das neue Planungs- und Beschaffungsbeschleunigungsgesetz (BwPBBG) soll dafür sorgen die Einsatzbereitschaft der Streitkräfte zu erhöhen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/89/63/89639aadfc00f384f4bd9873529c907b/0129106836v1.jpeg "In einer speziellen Testumgebung von EWERK können Kommunen ihre KI-Projekte datenschutzkonform testen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/80/5b/805b612af7de02ab07b2a1a397440f3b/0128166269v2.jpeg "In der digitalisierten Welt wird ständig neues Wissen generiert, nur sind die Wirkungszusammenhänge häufig allzu intransparent. (Bild: © greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/8f/5f8faad4afec8fe9e707f4dcf66f2241/0128310661v2.jpeg "Die Verwaltungstransformation braucht klare Strukturen und Verantwortlichkeiten, um den gemeinsamen Weg erfolgreich zu beschreiten. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/26/4e/264eb24d3d8fb6970634864f5caa0c9a/0128145508v2.jpeg "Viele KRITIS-Betreiber haben sich noch nicht abendfüllend mit den Möglichkeiten Künstlicher Intelligenz beschäftigt, dabei besitzt KI auch hier großes Potenzial. (Bild: © kosssmosss - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/08/f7086bdbf995dd01a59ee4c05c98c18e/0128147516v2.jpeg "Mitmachen statt zuschauen:
Die Angst, bei KI den Anschluss zu verlieren, kann zu vorschnellen Entscheidungen führen. (Bild: © MotionIsland – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3f/d6/3fd65ee8c363863ad83fb6f06d6c4673/0128557921v2.jpeg "Die jährlich stattfindende Didacta ist die größte Bildungsmesse in Europa und die wichtigste Weiterbildungsveranstaltung für Lehrkräfte. (Bild: © Koelnmesse GmbH / didacta / Alita Holzhauer)")
:quality(80)/p7i.vogel.de/wcms/7c/f1/7cf1421ed7c704eddc6167553c39d438/0129022115v1.jpeg "Die sovero GmbH ist Softwareanbieter für ECM- und Workflowlösungen und durchführender Partner für Aktendigitalisierungsprojekte in Kommunalverwaltungen. (Bild: sovero)")
:quality(80)/p7i.vogel.de/wcms/7e/01/7e01f9af699f512a4ee3bbb345c9ddb9/0128945446v2.jpeg "Mit dem Deutschland-Stack soll eine souveräne, europäisch anschlussfähige und interoperable digitale Infrastruktur für Bund, Länder und Kommunen geschaffen werden. (CanvaKI-generiert)")
:quality(80)/p7i.vogel.de/wcms/92/0d/920d464a10fdaabbed2a225131b40428/0128865118v2.jpeg "Ein Deep Dive in digitiale Bildung – und das vom heimischen Rechner aus: Das ist die LEARNTEC xChange. (Bild: Messe Karlsruhe / Jannik Hammes)")
:quality(80)/p7i.vogel.de/wcms/18/96/1896e3a6ff5662cb8cc3916e70eaaca1/0128771682v1.jpeg "(Bild: © Ferrari electronic)")
:quality(80)/p7i.vogel.de/wcms/4d/e4/4de4451360df23707ec5a930ce162b95/0128444441v6.jpeg "(Bild: Voigtmann GmbH)")
:quality(80)/p7i.vogel.de/wcms/a2/1c/a21c5cbcfc2114968d324ef51f71a997/0128496655v2.jpeg "(Illustration: Landkreis Regensburg)")
:quality(80)/p7i.vogel.de/wcms/55/49/5549944daffc8a848b82db8f3abcee30/0127845342v1.jpeg "Der Autor, Matthias J. Szymansky, ist Leiter Competence Center Analytics & AI, Materna. (Bild: Materna )")
:quality(80)/p7i.vogel.de/wcms/9a/dd/9adda3170a0349cdecf8355ecb1b5f3d/0124723437v3.jpeg "Podiumsdiskussion „Neustaat digital: souverän, resilient, bürgernah\" beim 18. eGovernment Summit. (©Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/a5/77/a57764d9ab42cddc9ce74c79f8afbff5/0124379835v2.jpeg "Dr. Markus Richter, Staatssekretär im BMI und Beauftragter der Bundesregierung für Informationstechnik, ist Schirmherr des eGovernment Summit 2025. (© Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/82/1f/821f31598dfc3f1aca3ead28fcf3529b/0123901076v2.jpeg "Rauchende Köpfe und zündende Ideen: Auf dem eGovernment Summit diskutieren Expertinnen und Experten über die Zukunft der Verwaltungsdigitalisierung. (© Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/d2/38/d238b9e6c5bec4995cff976c5a00870e/0127069863v2.jpeg "Glitter and glamour: Wir präsentieren die Gewinnerinnen und Gewinner der eGovernment Readers' Choice Awards 2025. (Bild: © Offenblende/Christoph Wehrer )")
:quality(80)/p7i.vogel.de/wcms/f4/28/f42807d575943540de71f909fa871105/0125662510v1.jpeg "(Bild: Sophos via shutterstock.com)")
:quality(80)/p7i.vogel.de/wcms/71/80/7180526003a0e18ec27f4ea35b590a74/0125015548v1.jpeg "Stimmen Sie für Ceyoniq in der Kategorie „eAkte“ ab. (Bild: Ceyoniq)")
:quality(80)/p7i.vogel.de/wcms/0a/4a/0a4a09b1d8a5e718a0f9357810b613ee/0125273923v2.jpeg "Mit der digitalen Dachmarke will der IT-Planungsrat für wiedererkennbare und vertrauenswürdige Online-Angebote in der öffentlichen Verwaltung sorgen. (Bild: scyther5, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/11/a4/11a4262cb4795d3c5c4f8b494db16798/0125243090v2.jpeg "Der IT-Planungsrat dient als zentrales politisches Gremium dazu, die föderale IT-Strategie von Bund und Ländern zu koordinieren. (Bild: scyther5, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/b6/69/b669d70fd07e52da911b10385ef06f11/0122476909v1.jpeg "Alle notwendigen Schritte während der elektronischen Wohnsitzanmeldung lassen sich über das Internet durchführen. (© scyther5, Getty Images via Canva.com)")
:fill(fff,0)/p7i.vogel.de/companies/64/47/644794f95e7d3/g-data-cyberdefense-logo-sq.jpeg "g-data-cyberdefense-logo-sq (G Data)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135700/135757/65.png "genua-logo-rgb-violet-transparenz (002).png ()")
:fill(fff,0)/p7i.vogel.de/companies/66/f3/66f3bc1423b16/syseleven-l-logo-hoch-cmyk.svg "syseleven-l-logo-hoch-cmyk (SysEleven GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/ca/66/ca6682c3b0aec1841cc25676f57dc75f/0122755025v1.jpeg "Der Linken-Fraktion zufolge wurde in den vergangenen zwölf Monaten etwa jede zehnte Stelle im nicht-militärischen Bereich der IT-Sicherheit abgebaut. (Bild: fotogestoeber - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/12/12/1212b577d1c5b51a020e361ae16c9d59/0122197105v1.jpeg "Ina Scharrenbach, Ministerin für Heimat, Kommunales, Bau und Digitalisierung in NRW. (© MHKBD/NRW)")
:quality(80)/p7i.vogel.de/wcms/db/b3/dbb3515c56a761c278330bdcf9e0ba17/0123957657v2.jpeg "Städte und Kreise müssen sich vor IT-Angriffen schützen. (© Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/ac/c6acfd9fe9ea93b07e73b4c69c1fae2e/0126836515v2.jpeg "Es kann jede Kommune treffen. Daher muss besondere Aufmerksamkeit auf IT-Sicherheit liegen. (Bild: © Johannes – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c0/18/c018ac339209b209be68050b22839cc7/0125880941v2.jpeg "Moderieren statt dominieren: Führungskräfte sollten interne und externe Netzwerke unterstützen. (Bild: fizkes – stock.adobe.com)")