Europas Sicherheitslücke bei der Zusammenarbeit: Warum Vertrauen in Ihre Tools nicht gleich Kontrolle über Ihre Daten ist
Vertrauen ist keine Kontrolle. Diese Unterscheidung steht im Mittelpunkt einer neuen Umfrage unter IT-Fachkräften in Großbritannien, Frankreich und Deutschland, die vom Kommunikationsanbieter Wire in Auftrag gegeben und von Dark Reading berichtet wurde. Auf dem Papier wirken europäische Unternehmen sicher: 84 % der IT-Fachkräfte geben an, sie seien zuversichtlich bezüglich der Sicherheit ihrer Kollaborationsumgebungen, und 79 % vertrauen darauf, den Zugriff auf Kollaborationsdaten steuern zu können. Schaut man jedoch genauer hin, zeichnet dieselbe Umfrage ein ganz anderes Bild davon, was tatsächlich in diesen Umgebungen passiert.
Nur 29 % halten ihre aktuellen Tools für vollständig geeignet, um sensible Kommunikation zu verarbeiten. 61 % sagen, dass der Zugriff auf geteilte Dateien oft länger aktiv bleibt als nötig. 34 % haben Schwierigkeiten festzustellen, wer Zugriff auf eine bestimmte sensible Datei hat, und 19 % beschreiben das Entziehen dieses Zugriffs, sobald er gewährt wurde, als sehr schwierig. Im Bereich der externen Zusammenarbeit, bei der Daten das eigene Unternehmen verlassen, verschärft sich die Lage: 75 % nutzen dieselbe E-Mail-Plattform für interne und externe Kommunikation, 45 % setzen auf Filesharing-Links, 42 % verwenden Consumer-Messaging-Apps für geschäftliche Inhalte und nur 28 % nutzen ein dediziertes, sicheres Tool für externe Zusammenarbeit.
Dies ist keine Geschichte über einen Datenschutzverstoß. Kein einzelnes in der Umfrage genanntes Unternehmen hat einen Vorfall erlitten, und die Daten von Wire beschreiben die Marktwahrnehmung, nicht einen spezifischen Angriff. Genau das macht sie so wertvoll. Sie bieten einen seltenen, strukturierten Einblick, wie eine große Gruppe von IT-Fachkräften die Lücke zwischen „wir fühlen uns sicher“ und „wir können Sicherheit nachweisen und durchsetzen“ wahrnimmt – und oft falsch einschätzt. Für jedes Unternehmen, das Zusammenarbeit über E-Mail, Consumer-Messaging-Apps und Ad-hoc-Filesharing-Links abwickelt, hält diese Umfrage den Spiegel vor – und zeigt genau, wo Governance versagt.
Kiteworks Secure Data Exchange existiert, weil genau diese Lücke zwischen gefühlter und tatsächlicher Kontrolle das Problem ist, das einheitliche Data Governance lösen soll. Im Folgenden erläutern wir, was die Zahlen wirklich bedeuten, warum die Vertrauenswerte allein irreführend sind und wie das Schließen der Lücke in der Praxis aussieht.
Wichtige Erkenntnisse
1. Vertrauen und Kontrolle sind zwei verschiedene Dinge – und die meisten IT-Verantwortlichen verwechseln sie.
Eine neue Umfrage unter IT-Fachkräften aus Großbritannien, Frankreich und Deutschland zeigt: 84 % sind von ihrer Kollaborationssicherheit überzeugt, doch nur 29 % halten ihre Tools für vollständig geeignet, um sensible Kommunikation zu verarbeiten.
2. Zugriffsrechte laufen nicht ab, wenn sie sollten.
61 % der Befragten sagen, dass der Zugriff auf geteilte Dateien oft länger aktiv bleibt als nötig, und 19 % finden es sehr schwierig, Zugriffsrechte nach deren Vergabe wieder zu entziehen. Prinzipien der Datenminimierung – angewendet auf Umfang und Dauer des Zugriffs im Moment des Teilens – bilden die Policy-Grundlage für automatische Ablaufzeiten als Standardverhalten.
3. Externe Zusammenarbeit basiert auf einem fragmentierten, ungeregelten Tool-Stack.
Drei Viertel der Unternehmen nutzen dieselbe E-Mail-Plattform für interne und externe Kommunikation, 45 % verlassen sich auf Filesharing-Links und 42 % verwenden Consumer-Messaging-Apps, um sensible Inhalte außerhalb des Unternehmens zu bewegen.
4. Transparenzlücken sind die Ursache, nicht nur ein Nebeneffekt.
34 % der IT-Fachkräfte haben Schwierigkeiten festzustellen, wer aktuell Zugriff auf sensible Dateien hat – was eine gesteuerte Offboarding-Strategie und eine zuverlässige Reaktion auf Datenpannen nahezu unmöglich macht.
5. Die Lösung ist architektonisch, nicht verhaltensbasiert.
Um die Lücke zu schließen, müssen Unternehmen die Zusammenarbeit auf einer einzigen, gesteuerten Plattform mit Dateibezogenen Zugriffskontrollen, automatischer Ablaufsteuerung und vollständigem Audit-Trail konsolidieren – statt Mitarbeiter zu bitten, fragmentierte Tools vorsichtiger zu nutzen.
Warum 84 % Vertrauen und 29 % Eignung kein Widerspruch sind
Es ist verlockend, die 84 % Vertrauensquote und die 29 % Eignungsquote als Widerspruch zu sehen. Das sind sie aber nicht. Sie messen zwei verschiedene Dinge, und das Verständnis dieses Unterschieds erklärt fast alles Weitere in der Umfrage.
Vertrauen, wie die meisten Befragten die Frage vermutlich verstanden haben, misst, ob die bereits eingesetzten Tools bisher funktioniert haben – kein sichtbarer Datenschutzverstoß, kein Vorfall, kein offensichtliches Versagen. Das ist eine rückblickende, verfügbarkeitsbasierte Einschätzung. Sie beantwortet: „Ist bisher etwas schiefgelaufen, das mir bekannt ist?“
Eignung misst etwas Zukünftiges und viel Schwerer zu Bewertendes: Ob die tatsächliche Architektur des Tools – seine Zugriffskontrollen, seine Protokollierung, seine Fähigkeit, Richtlinien konsistent über alle Kanäle hinweg durchzusetzen – darauf ausgelegt ist, sensible Inhalte von Grund auf zu schützen. Das ergibt die 29 % „Ja“.
In der Lücke zwischen diesen beiden Zahlen lauert das unerkannte Risiko. Ein Unternehmen kann jahrelang ohne offensichtlichen Sicherheitsvorfall auskommen und trotzdem die grundlegenden Kontrollen vermissen, die einen schleichenden, unbemerkten Datenabfluss verhindern oder überhaupt sichtbar machen würden: Ein externer Partner, der noch 18 Monate nach Projektende Zugriff auf einen geteilten Ordner hat, ein sensibler Vertrag in einem privaten Messenger-Thread, ein ehemaliger Mitarbeiter, dessen Filesharing-Links nie entzogen wurden. All das taucht nicht als „Vorfall“ auf, der das Vertrauen mindert. Aber es wird zum unkontrollierten Risiko, sobald ein Prüfer, Regulator oder Angreifer nachforscht. Für Unternehmen, die personenbezogene Daten oder andere regulierte Datenkategorien verwalten, bringt dieses Risiko spezifische Melde- und Abhilfepflichten mit sich, die reines Vertrauen nicht erfüllt.
Deshalb unterschätzen Security Risk Management-Programme, die auf Selbstauskünften oder jährlichen Penetrationstests basieren, die Risiken in Kollaborationsumgebungen systematisch. Die Tools versagen nicht lautstark. Sie versagen leise – ein unkontrollierter Share nach dem anderen. Und leises Versagen beeinflusst das Vertrauen erst, wenn es zum Vorfall wird.
Das Access-Lifecycle-Problem: Gewähren ist einfach, Entziehen ist schwer
Wer die drei Zahlen zum Zugriffsmanagement genau betrachtet, erkennt ein Muster, das CISOs mehr beunruhigen sollte als die Vertrauenswerte beruhigen. 61 % sagen, dass Zugriffsrechte oft länger aktiv bleiben als nötig. 34 % haben Schwierigkeiten festzustellen, wer aktuell Zugriff auf sensible Dateien hat. 19 % finden das Entziehen von Zugriffsrechten nach deren Vergabe sehr schwierig.
Kombiniert ergibt das eine vollständige Beschreibung eines defekten Access Lifecycles: Zugriffsrechte werden schnell und einfach vergeben, weil genau dieser Schritt optimiert wird – ein neuer Dienstleister braucht einen Ordner, ein neuer Partner eine Datei, in 30 Sekunden erledigt. Aber niemand hat den umgekehrten Prozess etabliert, um Zugriffsrechte wieder zu entziehen, wenn sie nicht mehr benötigt werden. Es gibt keinen konsistenten Auslöser, keinen Verantwortlichen, kein System, das einen Share zur Überprüfung markiert, wenn ein Projekt endet oder ein Vertrag ausläuft.
Das ist die klassische Asymmetrie von Zugriffskontrollen in allgemeinen Kollaborationstools statt auf gesteuerten Content-Plattformen. E-Mail-Anhänge, Consumer-Filesharing-Links und Messenger-Transfers haben denselben strukturellen Fehler: Sobald eine Datei den Einflussbereich des Senders verlässt, gibt es keine zentrale, zuverlässige Möglichkeit mehr, zu wissen, wer sie noch besitzt – geschweige denn, den Zugriff zu entziehen. Ein geteilter Link fragt nicht nach Erlaubnis, weiter zu funktionieren. Ein E-Mail-Anhang prüft nicht bei einer Policy-Engine nach, bevor ein Empfänger ihn weiterleitet. Attributbasierte Zugriffskontrolle (ABAC) – bei der Sensibilität, Benutzerrolle und Zeitkontext gleichzeitig bewertet werden – ist der technische Mechanismus, der kontextabhängige, zeitlich begrenzte Berechtigungen durchsetzt, die statische Rollen und Link-Sharing nicht abbilden können.
Im Gegensatz dazu sind Digital Rights Management und dateibezogene Governance darauf ausgelegt, den Zugriff an die Datei selbst zu knüpfen, nicht an den jeweiligen Besitzer einer Kopie. So können Berechtigungen zeitlich begrenzt, überwacht und zentral entzogen werden – unabhängig davon, wo sich die Datei physisch befindet. Das ist der architektonische Unterschied zwischen „wir haben es verschickt und hoffen, es ist in Ordnung“ und „wir kontrollieren es über den gesamten Lebenszyklus“. Die 19 %, die das Entziehen von Zugriffsrechten als sehr schwierig beschreiben, sprechen nicht von einem Schulungsdefizit – sondern von einem Tooling-Gap, das durch Training nicht zu beheben ist.
Die 34 %, die nicht wissen, wer aktuell Zugriff hat, stehen vor einer noch größeren Herausforderung. Sie können nicht steuern, was Sie nicht sehen. Ohne einen konsolidierten Audit-Trail über alle Kollaborationskanäle hinweg wird die Frage „Wer hat aktuell Zugriff auf diese Datei?“ zu einer manuellen Recherche in E-Mail-Server-Logs, Filesharing-Admin-Konsolen und Messenger-Protokollen – sofern diese überhaupt existieren und lange genug aufbewahrt werden. Im Ernstfall ist das nicht nur unbequem, sondern entscheidet über eine schnelle Eingrenzung oder eine unklare Datenpannenmeldung.
Externe Zusammenarbeit: Wo Fragmentierung zum Risiko wird
Die internen Zahlen beschreiben ein Governance-Problem. Die externen Kollaborationszahlen zeigen eher eine offene Tür.
75 % der befragten Unternehmen nutzen dieselbe E-Mail-Plattform für interne und externe Kommunikation. Das klingt zunächst effizient – eine Plattform, ein Posteingang, ein Skillset für alle. In der Praxis bedeutet es aber, dass das gleiche E-Mail-Sicherheitsniveau, das für internen Traffic entwickelt wurde, weitgehend unverändert auf Kommunikation mit externen Partnern, Dienstleistern und Mandanten angewendet wird, deren eigene Sicherheitsstandards das sendende Unternehmen weder kennt noch kontrollieren kann. Die Auswirkungen auf das Supply-Chain-Risk-Management sind direkt: Jeder externe Empfänger mit nicht entzogenem Zugriff auf sensible Dateien ist ein Drittparteien-Risiko, das das Unternehmen nicht über die eigene Infrastruktur überwachen oder kontrollieren kann.
45 % nutzen Filesharing-Links für externe Zusammenarbeit – bequem, vertraut und nach der Verteilung kaum noch steuerbar. Ein Link, der an einen externen Empfänger gesendet wird, kann weitergeleitet werden, ohne dass der Absender davon erfährt, ohne standardmäßiges Ablaufdatum und ohne zentrale Protokollierung jedes Zugriffs. 42 % verwenden Consumer-Messaging-Apps für geschäftliche Inhalte außerhalb des Unternehmens – Tools, die für private Kommunikation entwickelt wurden, nicht für Data Governance, Aufbewahrungsrichtlinien oder regulatorische Audit-Trails.
Nur 28 % nutzen ein dediziertes, sicheres Tool für externe Zusammenarbeit. Das bedeutet, laut Umfrage, dass etwa sieben von zehn Unternehmen ihre risikoreichsten Datenflüsse – jene, die die Unternehmensgrenze in fremde Umgebungen überschreiten – mit Tools verwalten, die nie dafür gedacht waren. Und 33 % geben offen zu, dass sie kein Vertrauen haben, die Kontrolle über Dateien nach externer Freigabe zu behalten – das ist die ehrliche, unverblümte Version dessen, was die anderen Zahlen im Aggregat beschreiben.
Diese Fragmentierung summiert sich auf vorhersehbare Weise. Jeder zusätzliche Kanal für externe Zusammenarbeit – E-Mail, Filesharing-Links, Consumer-Messaging und die dedizierten Tools der 28 % – ist ein eigenes System mit eigenen Zugriffskontrollen, eigener Protokollierung (oder ohne) und eigenem Mechanismus zum Entzug von Zugriffsrechten (oder ohne). Ein Sicherheitsteam, das wissen will, „welche sensiblen Daten haben wir mit diesem Dienstleister geteilt und können wir den Zugriff beenden, wenn die Beziehung endet“, muss die Antwort über vier oder fünf getrennte Systeme rekonstruieren – jedes mit unvollständiger Transparenz. Diese Rekonstruktion kostet im Ernstfall wertvolle Zeit und wird im Normalbetrieb schlicht nie durchgeführt – so bleiben Zugriffsrechte monatelang oder jahrelang bestehen.
Kiteworks Secure File Sharing und Secure MFT wurden mit der gegenteiligen Annahme entwickelt: Interner und externer Dateiaustausch sollte in einer einzigen, gesteuerten Umgebung mit konsistenten Zugriffskontrollen, Verschlüsselung und Protokollierung erfolgen – unabhängig davon, auf welcher Seite der Unternehmensgrenze sich der Empfänger befindet. Diese Konsolidierung macht aus „wir haben kein Vertrauen in die Kontrolle“ eine Frage mit einer konkreten, überprüfbaren Antwort.
Was es wirklich braucht, um die Lücke zu schließen
Die erste Reaktion auf solche Umfrageergebnisse ist oft ein Trainingsprogramm oder eine Policy-Mail: Mitarbeitende daran erinnern, keine Consumer-Messaging-Apps für sensible Dateien zu nutzen, sie bitten, vor dem Teilen den Zugriff zu prüfen, eine Folie in die Security-Awareness-Präsentation einfügen. Dieser Reflex ist verständlich, aber fast immer falsch. Die Wire-Umfrage beschreibt keine nachlässigen Mitarbeitenden, sondern IT-Fachkräfte – Menschen, deren Job Sicherheit ist – die berichten, dass ihre Tools nicht die nötige Eignung, Transparenz oder Entzugsfähigkeit bieten. Tooling-Limitierungen lassen sich nicht durch Training beheben.
Das Schließen der Lücke erfordert vier spezifische architektonische Fähigkeiten, die fragmentierte E-Mail-, Link-Sharing- und Messaging-Tools nie gemeinsam bieten konnten.
Erstens: Einheitliche Zugriffskontrollen, die dieselbe Policy-Logik anwenden, egal ob der Empfänger Mitarbeitender, Dienstleister oder Mandant ist. Zweitens: Dateibezogene Governance statt plattformbezogener Governance, sodass Berechtigungen mit dem Inhalt selbst wandern und jederzeit angepasst oder entzogen werden können – unabhängig davon, wo Kopien existieren. Drittens: Automatische Ablaufzeiten als Standardverhalten statt manueller Nachbearbeitung, damit Zugriffsrechte, die „länger aktiv bleiben als nötig“, zur Ausnahme werden – nicht zur Norm, wie es 61 % der Befragten beschreiben. Viertens: Ein einziger Audit-Trail über alle Kollaborationskanäle hinweg, sodass die 34 %, die aktuell nicht wissen, „wer Zugriff auf diese Datei hat“, in Sekunden eine Antwort erhalten – statt einer Recherche über mehrere Systeme.
Ein CISO Dashboard, das aktive Shares, veraltete Berechtigungen und externe Zugriffe in einer Ansicht bündelt, macht die alarmierendsten Umfragewerte zu einem lösbaren operativen Problem statt zu einem dauerhaften Risiko. Statt zu fragen „Weiß noch jemand, mit wem wir diesen Vertrag geteilt haben?“, liefert eine Abfrage die Antwort. Statt zu hoffen, dass der Link eines ehemaligen Dienstleisters von selbst abgelaufen ist, erzwingt die Policy das Ablaufdatum schon bei der Vergabe. Wird diese Transparenzschicht an eine SIEM-Plattform angebunden, erhalten Sicherheitsteams sinnvolle Benachrichtigungen und Alarme, wenn Zugriffsverhalten vom etablierten Muster abweicht – die Detektionsebene, die aus den „stillen Fehlern“ der Umfrage beobachtbare, steuerbare Signale macht, bevor daraus meldepflichtige Vorfälle werden.
All das erfordert nicht, E-Mail oder Messaging komplett abzuschaffen – Mitarbeitende brauchen weiterhin vertraute Kommunikationskanäle. Entscheidend ist, dass die sensiblen Inhalte – die Dateien und Daten, die tatsächlich Risiko tragen – durch eine gesteuerte Schicht laufen, die unter und über diesen Kanälen liegt und überall dieselbe Policy durchsetzt. Das ist der Unterschied zwischen Vertrauen, das auf fehlenden Vorfällen basiert, und Vertrauen, das auf nachweisbarer Kontrolle beruht.
Regulatorischer Druck erhöht die Kosten der Vertrauenslücke
Europäische Unternehmen können es sich nicht leisten, diese Lücke als Zukunftsproblem zu betrachten. Die regulatorische Landschaft in Großbritannien, Frankreich und Deutschland verlangt inzwischen genau die Art von nachweisbarer Kontrolle, die laut Umfrage weitgehend fehlt.
DSGVO verpflichtet Unternehmen seit Jahren, zu wissen, wo personenbezogene Daten liegen und wer darauf zugreifen kann – aber die Durchsetzung ist strenger geworden, und Regulatoren erwarten zunehmend Belege statt Zusicherungen bei Untersuchungen. Die NIS 2-Richtlinie, die jetzt in allen EU-Mitgliedstaaten einschließlich Frankreich und Deutschland gilt, erweitert die Anforderungen an das Cybersecurity Risk Management auf einen viel größeren Kreis „wesentlicher“ und „wichtiger“ Unternehmen und schreibt explizit Maßnahmen zur Absicherung der Lieferkette vor – ein direkter Angriffspunkt für Organisationen, die weiterhin auf E-Mail, Filesharing-Links und Consumer-Messaging-Apps für externe Zusammenarbeit setzen. Finanzdienstleister müssen DORA-Vorgaben zu Drittparteienrisiko und ICT-Vorfallmeldungen erfüllen – und das setzt voraus, dass das Unternehmen genau nachverfolgen kann, wohin sensible Daten gegangen sind und wer sie bearbeitet hat.
Der gemeinsame Nenner aller drei Regelwerke ist derselbe, den auch die Wire-Umfrage herausstellt: Regulatoren akzeptieren Vertrauen nicht mehr als Ersatz für Kontrolle. Ein Unternehmen, das bei einer DSGVO-Compliance-Prüfung oder einem NIS2-Audit sagt „wir sind zuversichtlich bezüglich unserer Sicherheit“, wird nach Zugriffsprotokollen, Entzugsnachweisen und aktuellen Berechtigungslisten für die betreffenden Daten gefragt. Wenn die ehrliche Antwort lautet: „In 34 % der Fälle wissen wir nicht, wer Zugriff hat“, ist das kein Kommunikationsproblem, sondern eine Audit-Trail- und Data-Governance-Lücke, die Regulatoren jetzt gezielt ahnden können – und zunehmend auch tun.
Unternehmen, die weiterhin externe Zusammenarbeit über fragmentierte, nicht protokollierte Kanäle abwickeln, setzen sich genau dann diesem Risiko aus, wenn es am ungünstigsten ist – nämlich nachdem die Durchsetzung die Lücke eingeholt hat. Der Kiteworks 2026 Data Security and Compliance Risk: Annual Forecast Report verfolgt diese Art regulatorischer und Drittparteien-Risiken branchenübergreifend und ist ein hilfreicher Benchmark für Unternehmen, die ihre eigenen Kollaborationspraktiken bewerten möchten.
Vom Vertrauen zur überprüfbaren Kontrolle
Das Wertvollste an der Wire-Umfrage ist, was sie nicht behauptet: Sie sagt nicht, dass europäische Unternehmen nachlässig sind, und sie beschreibt keinen konkreten Datenschutzverstoß, der Panik auslösen müsste. Sie gibt einer großen, strukturierten Gruppe von IT-Fachkräften die Möglichkeit, ihre eigene Umgebung ehrlich zu beschreiben – und das Ergebnis ist eine Lücke zwischen dem Vertrauen, das sie empfinden, und der Kontrolle, die sie tatsächlich nachweisen können.
Diese Lücke ist schließbar – und dazu braucht es keine höhere Wachsamkeit von ohnehin ausgelasteten Mitarbeitenden, sondern eine andere Architektur: Zugriffskontrollen, die intern wie extern konsistent sind, Zugriffsrechte, die standardmäßig ablaufen, einen einzigen Audit-Trail, der die Frage „Wer hat aktuell Zugriff?“ ohne Systemwechsel beantwortet, und eine Entzugsfunktion, die per Policy erfolgt statt als hektische Suche in fünf Tools.
Kiteworks Secure Data Exchange konsolidiert die fragmentierten E-Mail-, Filesharing-Link- und Consumer-Messaging-Kanäle, die diese Umfrage beschreibt, in einer einzigen, gesteuerten Umgebung – speziell entwickelt, um die Lücke zwischen Vertrauen und Kontrolle zu schließen, sowohl für interne Teams als auch für externe Partner. Das Kiteworks Private Data Network erweitert diese einheitliche Governance auf alle Kommunikationskanäle und gibt Unternehmen die nachweisbare Kontrolle, die DSGVO-, NIS2- und DORA-Prüfungen zunehmend verlangen.
Erfahren Sie mehr darüber, wie Sie die Lücke zwischen Kollaborationssicherheit und überprüfbarer Kontrolle schließen können – vereinbaren Sie jetzt Ihre individuelle Demo.
Häufig gestellte Fragen
Sie bezeichnet die Diskrepanz zwischen dem Sicherheitsgefühl von IT-Fachkräften bezüglich ihrer Kollaborationstools und deren tatsächlicher Eignung für den Umgang mit sensiblen Daten. In der von Wire beauftragten Umfrage äußerten 84 % Vertrauen in ihre Sicherheit, aber nur 29 % hielten ihre Tools für vollständig geeignet für sensible Kommunikation. Diese Lücke ist relevant, weil Vertrauen ohne sichtbaren Vorfall bei regulatorischer Prüfung, einem Audit oder einer tatsächlichen Datenpanne nicht ausreicht – in diesen Fällen müssen Unternehmen Zugriffskontrollen und Audit-Trails nachweisen, nicht nur ein Gefühl berichten. Unternehmen mit Compliance-Pflichten – DSGVO, NIS2, DORA – sind von dieser Lücke besonders betroffen: Eine Anfrage der Aufsichtsbehörde verlangt dokumentierte Nachweise für Zugriffskontrolle und Entzugsfähigkeit, nicht einen Vertrauenswert aus einer Umfrage.
Die meisten Kollaborationstools sind darauf ausgelegt, Zugriffsrechte schnell zu vergeben, bieten aber kaum strukturierte Prozesse zum Entziehen dieser Rechte. E-Mail-Anhänge, Filesharing-Links und Consumer-Messaging-Apps laufen in der Regel nicht automatisch ab, verfolgen nicht, wo eine Datei überall landet, und markieren veraltete Berechtigungen nicht zur Überprüfung, wenn ein Projekt oder Vertrag endet. 61 % der befragten IT-Fachkräfte berichten genau dieses Problem. Die Lösung ist dateibezogene Zugriffskontrolle mit integrierter Ablaufsteuerung – statt darauf zu hoffen, dass jemand später manuell den Zugriff entzieht. Die Anwendung von Prinzipien der Datenminimierung schon bei der Vergabe – also die kürzest mögliche Zugriffsdauer als Standard zu setzen statt unbegrenztem Teilen – ist die Policy-Grundlage für nachhaltige, automatische Ablaufzeiten.
Externe Zusammenarbeit verlagert Unternehmensdaten in Umgebungen, die nicht mehr direkt kontrolliert werden. Die Umfrage zeigt, dass die meisten Unternehmen dafür Tools nutzen, die auf Bequemlichkeit statt Governance ausgelegt sind: 75 % nutzen dieselbe E-Mail-Plattform intern und extern, 45 % Filesharing-Links und 42 % Consumer-Messaging-Apps. Nur 28 % setzen ein dediziertes, sicheres Tool für externe Zusammenarbeit ein. Jeder dieser Kanäle hat schwache oder keine Zugriffskontrollen und Protokollierung, sodass extern geteilte sensible Inhalte viel schwerer zu verfolgen, zu auditieren oder zu entziehen sind als interne. Das Supply-Chain-Risk-Management verschärft das Problem: Jeder externe Partner mit nicht entzogenem Dateizugriff ist ein Drittparteienrisiko, das das Unternehmen nicht über die eigene Infrastruktur überwachen oder abschalten kann.
Nein. Die Befragten sind IT-Fachkräfte, die von Tool-Limitierungen berichten – nicht von mangelndem Bewusstsein der Mitarbeitenden. 34 % wissen nicht, wer Zugriff auf sensible Dateien hat, und 19 % finden das Entziehen sehr schwierig, weil die zugrundeliegenden Plattformen keine einheitlichen Zugriffskontrollen, zentralen Audit-Trail oder automatische Ablaufsteuerung bieten – strukturelle Lücken, die eine architektonische Lösung erfordern, konkret die Konsolidierung auf einer gesteuerten Plattform, statt Training oder Policy-Updates. Ein dokumentierter Incident-Response-Plan mit dem Schritt „aktuelle Zugriffsberechtigte ermitteln“ zeigt schnell, ob das Tooling diese Frage beantworten kann – Unternehmen, die das nicht können, sollten die Tool-Lücke als Incident-Response-Risiko behandeln, nicht als Zukunftsthema.
Beide Regelwerke verlangen von Unternehmen, nachzuweisen – nicht nur zu behaupten –, dass sie wissen, wo sensible Daten liegen, wer darauf zugreifen kann und wie Datenweitergabe an Dritte und in der Lieferkette abgesichert ist. DSGVO-Durchsetzung erwartet zunehmend dokumentierte Zugriffskontrollen und Audit-Belege, während die NIS 2-Richtlinie die Cybersecurity-Pflichten auf Lieferkette und Drittparteien ausweitet – auch in Frankreich und Deutschland. Ein Unternehmen, das bei einer Prüfung die Frage „Wer hat aktuell Zugriff auf diese Datei?“ nicht beantworten kann, steht vor direkter Compliance-Gefahr, nicht nur vor Reputationsrisiken. DORA-Compliance betrifft Finanzdienstleister: ICT-Vorfallmeldungen und Drittparteien-Risikomanagement nach DORA setzen voraus, dass Unternehmen genau nachvollziehen können, wohin sensible Daten gegangen sind und wer sie bearbeitet hat – genau diese nachweisbare Kontrolle, die laut Wire-Umfrage den meisten europäischen Unternehmen aktuell fehlt.
Weitere Ressourcen
- Blogbeitrag Zero Trust Architecture: Never Trust, Always Verify
- Video Microsoft GCC High: Nachteile, die Verteidigungsunternehmen zu intelligenteren Lösungen treiben
- Blogbeitrag Wie Sie klassifizierte Daten absichern, sobald DSPM sie erkennt
- Blogbeitrag Vertrauen in Generative KI mit einem Zero-Trust-Ansatz aufbauen
- Video Der definitive Leitfaden für sichere Speicherung sensibler Daten für IT-Verantwortliche