Sicherheitsinitiative: IT-Risiken werden unterschätzt

Der Feind in meinem Haus

Als Hauptrisikoquelle hat die IT Advisory Group nach Infrastrukturausfällen („Computer geht nicht“) firmeninterne Sabotage ausgemacht. „Datenklau und Datenmanipulationen durch die eigenen Mitarbeiter sind in deutschen Unternehmen an der Tagesordnung“, sagt Jourdan.

Dabei ist nicht immer sichergestellt, dass eine regelmäßige Überprüfung, die eigentlich vorgeschrieben ist, tatsächlich immer auch stattfindet. „Eines der größten Sicherheitsrisiken stellt der Umgang mit den Systemberechtigungen dar. Der Systemadministrator, der selbst Zugriff auf praktisch alle Daten besitzt, gibt diese Berechtigungen abgestuft an andere Mitarbeiter weiter. Die zu Grunde liegenden Berechtigungskonzepte weisen in etwa 70 Prozent der mittelständischen Firmen und zehn Prozent der DAX-30-Unternehmen riesige Sicherheitslöcher auf“, berichtet Jourdan aus der Beratungspraxis, und nennt ein typisches Beispiel:

„Der Systemadministrator geht in Urlaub und gibt seine Passworte an einen Kollegen, der die Vertretung übernimmt. Die Passworte bleiben über den Urlaub hinaus unverändert, der Kollege ist weiterhin zugangsberechtigt, bei Manipulationen schweigt der Systemadministrator, um dadurch seinen eigenen lockeren Umgang mit der Sicherheit zu vertuschen. Solche und ähnliche Beispiele stellen keinen Einzelfall dar, sondern sind die Regel in vielen Unternehmen.“