Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Was ist bei ausgeschiedenen Mitarbeitern zu beachten
Ausgeschiedene Mitarbeiter als IT-Risiko
Monatsanfang — der Kollege Müller ist in Rente gegangen und Kollege Maier hat die Firma verlassen. Die Schreibtische sind leer und der
Büroschlüssel wurde zurück gegeben.
Wissen Sie genau ob Maier oder Müller nicht doch noch Zugriff auf ihre IT im Unternehmen haben? Dabei geht es nicht nur um Name und Passwort der
Arbeitsplatzsysteme. In modernen Büroumgebungen gibt es mehr als einen Weg auf Daten zuzugreifen.
Ein familienfreundlicher Arbeitsplatz erlaubt den Remote-Zugang für die berufstätige Mutter oder den Vater, der Außendienstmitarbeiter greift jederzeit online auf die aktuellen Preislisten zu und der Administrator kann im Notfall auch Probleme am Server während des Urlaubs in der Karibik beheben. Diese Zugänge müssen nicht nur alle gegen unbefugten Zugriff abgesichert sein, sondern auch irgendwann wieder gelöscht werden.
Spätestens dann wenn der Mitarbeiter das Unternehmen verlässt. Im Idealfall erfolgt dies in dem Moment, wenn der ausscheidende Mitarbeiter am letzten Tag das Büro verlässt.
Wann wird in Ihrem Unternehmen in der IT „aufgeräumt”? Am letzten Tag des Mitarbeiters, durch einen nachts laufenden „Lösch-Prozess”, am darauffolgenden Wochenende oder erst am Monatsende?
Bei einer Umfrage unter amerikanischen Unternehmen stellte sich heraus, dass fast die Hälfte aller Befragten noch „Leichen im Keller” hatten.
Oftmals sind es nicht die klassischen Firmenaccounts, die beim Löschen der Mitarbeiterrechte vergessen werden. Manche Mitarbeiter haben im
Unternehmen bis zu zehn verschiedene Accounts. Neben den Zugängen zur firmeninternen IT, gibt es oft projektspezifischen Zugriffe in der
Cloud, die von vielen Mitarbeitern im Unternehmen parallel genutzt und beim Ausscheiden des Mitarbeiters vergessen werden.
Was kann man nun in der Firma gegen diese „Leichen im Keller” unternehmen?
- Im Prozess, der für das Ausscheiden eines Mitarbeiters im Unternehmen definiert wurde, müssen alle elektronischen Zugänge genauso zeitnah gelöscht werden, wie die Rückgabe des Schlüssels für die Bürotür.
— Voraussetzung dazu ist eine Dokumentation aller Zugänge, die ein Mitarbeiter im Unternehmen beantragt.
— Dafür wiederum sollten alle dienstlich benötigten Zugänge über eine zentrale Stelle beantragt oder zumindest zentral gespeichert werden.
— Die Verwendung von „Single Sign On Systemen” erleichtert dabei die Handhabung.
— „Access-Control” und „Identity Management Systeme” helfen bei der Pflege der Accounts.
— In einem regelmäßigen Audit kann die Notwendigkeit (und die vergebenen Rechte) der Accounts geprüft werden.
Ein regelmäßiges Audit hilft übrigens auch die Zugriffsrechte von aktiven Mitarbeitern zu prüfen.
Aber… das ist dann schon wieder ein ganz anderes Thema.

Dipl. Inf. (Univ); OSSTMM Professional Security Tester (OPST zertifiziert seit 2011). Roland Wagner ist seit 1999 bei der Datev im Umfeld Internetdienste und IT-Security tätig. Hier beschäftigt er sich hauptsächlich mit Sicherheitsuntersuchungen und IT-Forensik.

Neueste Kommentare