DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Was ist bei aus­ge­schie­denen Mit­ar­beitern zu beachten

Aus­ge­schiedene Mit­ar­beiter als IT-Risiko

Monats­anfang — der Kollege Müller ist in Rente gegangen und Kollege Maier hat die Firma ver­lassen. Die Schreib­tische sind leer und der
Büro­schlüssel wurde zurück gegeben.

Wissen Sie genau ob Maier oder Müller nicht doch noch Zugriff auf ihre IT im Unter­nehmen haben? Dabei geht es nicht nur um Name und Passwort der
Arbeits­platz­systeme. In modernen Büro­um­ge­bungen gibt es mehr als einen  Weg auf Daten zuzu­greifen.

Ein fami­li­en­freund­licher Arbeits­platz erlaubt den Remote-Zugang für die berufs­tätige Mutter oder den Vater, der  Außen­dienst­mit­ar­beiter greift jederzeit online auf die aktu­ellen Preis­listen zu und der Admi­nis­trator kann im Notfall auch Pro­bleme am Server während des Urlaubs in der Karibik beheben. Diese Zugänge müssen nicht nur alle gegen unbe­fugten Zugriff abge­si­chert sein, sondern auch irgendwann wieder gelöscht werden.

Spä­testens dann wenn der Mit­ar­beiter das Unter­nehmen ver­lässt. Im Ide­alfall erfolgt dies in dem Moment, wenn der aus­schei­dende Mit­ar­beiter am letzten Tag das Büro ver­lässt.

Wann wird in Ihrem Unter­nehmen in der IT „auf­ge­räumt”? Am letzten Tag des Mit­ar­beiters, durch einen nachts lau­fenden „Lösch-Prozess”, am dar­auf­fol­genden Wochenende oder erst am Monatsende?

Bei einer Umfrage unter ame­ri­ka­ni­schen Unter­nehmen stellte sich heraus, dass fast die Hälfte aller Befragten noch „Leichen im Keller” hatten.

Oftmals sind es nicht die klas­si­schen Fir­men­ac­counts, die beim Löschen der Mit­ar­bei­ter­rechte ver­gessen werden. Manche Mit­ar­beiter haben im
Unter­nehmen bis zu zehn ver­schiedene Accounts. Neben den Zugängen zur fir­men­in­ternen IT, gibt es oft pro­jekt­spe­zi­fi­schen Zugriffe in der
Cloud, die von vielen Mit­ar­beitern im Unter­nehmen par­allel genutzt und beim Aus­scheiden des Mit­ar­beiters ver­gessen werden.

Was kann man nun in der Firma gegen diese „Leichen im Keller” unter­nehmen?

- Im Prozess, der für das Aus­scheiden eines Mit­ar­beiters im Unter­nehmen defi­niert wurde, müssen alle elek­tro­ni­schen Zugänge genauso zeitnah gelöscht werden, wie die Rückgabe des Schlüssels für die Bürotür.
— Vor­aus­setzung dazu ist eine Doku­men­tation aller Zugänge, die ein Mit­ar­beiter im Unter­nehmen bean­tragt.
— Dafür wie­derum sollten alle dienstlich benö­tigten Zugänge über eine zen­trale Stelle bean­tragt oder zumindest zentral gespei­chert werden.
— Die Ver­wendung von „Single Sign On Sys­temen” erleichtert dabei die Hand­habung.
— „Access-Control” und „Identity Management Systeme” helfen bei der Pflege der Accounts.
— In einem regel­mä­ßigen Audit kann die Not­wen­digkeit (und die ver­ge­benen Rechte) der Accounts geprüft werden.

Ein regel­mä­ßiges Audit hilft übrigens auch die Zugriffs­rechte von aktiven Mit­ar­beitern zu prüfen.

Aber… das ist dann schon wieder ein ganz anderes Thema.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Roland Wagner, DATEV eG

Dipl. Inf. (Univ); OSSTMM Pro­fes­sional Security Tester (OPST zer­ti­fi­ziert seit 2011). Roland Wagner ist seit 1999 bei der Datev im Umfeld Inter­net­dienste und IT-Security tätig. Hier beschäftigt er sich haupt­sächlich mit Sicher­heits­un­ter­su­chungen und IT-Forensik.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.