Lückenhafte Benutzerverwaltung ist ein Sicherheitsrisiko

Die Prozesse sind nicht ausgereift

Aber nicht nur bei fehlenden Prozessen missachten Administratoren notgedrungen die Richtlinien. Auch definierte Prozesse werden umgangen, nämlich dann, wenn sie nicht ausgereift sind. So haben viele Unternehmen eine IT-gestützte Kommunikation zwischen IT und Fachvorgesetzten eingerichtet, damit der IT einfach, schnell und nachvollziehbar mitgeteilt werden kann, welche Zugriffsrechte benötigt werden. Nicht selten haben dann Betriebswirte, Verkäufer oder Juristen, also Mitarbeiter mit durchschnittlichen IT-Kenntnissen, in schier endlosen Webkatalogen Hunderte von Checkboxen abzuarbeiten, die sie höchstens zum Teil verstehen.

Die Folge: Entweder sie kreuzen alles an, damit die benötigten Berechtigungen auch sicher dabei sind, oder sie rufen den Administrator an und fragen, was sie ankreuzen müssen beziehungsweise ob er auch ohne das Webformular die benötigten Accounts und Berechtigungen anlegen kann. Damit hat sich der Nutzen des Webkatalogs in Luft aufgelöst. Denn die digitale Abbildung eines Prozesses allein bringt wenig. Prozesse können erst dann gewinnbringend abgebildet werden und für die nötige Sicherheit sorgen, wenn auch wirklich alle Beteiligten mit ihnen umgehen können.