Datensicherheit im Unternehmen: Informationsschutz und der "Azubi-Effekt"

Informationssicherheit

von Thomas Althammer

Auszubildende machen häufig Station in verschiedenen Abteilungen eines Unternehmens und sammeln so an jedem Arbeitsort weitere Zugriffsrechte.

Bei der Frage, wer im Unternehmen die weitreichendsten Zugriffsrechte besitzt, tippen vielen auf IT-Leitung und Geschäftsführung. Doch gerade auch Praktikanten und Auszubildende verfügen in der Regel über recht umfangreiche Berechtigungen in den IT-Systemen.

Die Überraschung ist groß, wenn dann bei Prüfungen deutlich wird, wer Zugang zu Firmenservern hat und wie weitreichend auf Firmendaten zugegriffen werden darf. Je nach Unternehmensstruktur und Größe werden bei Auszubildenden zwar neue Zugriffsrechte bei Wechsel der Abteilung angefordert, die alten Berechtigungen in der Regel aber nicht eingeschränkt. Ohne Kontrolle oder regelmäßige Überprüfungen fällt dies dann mitunter jahrelang nicht auf.

Kontrollsysteme unterwandert

So sammelt sich nach drei Jahren Ausbildung oder im Rahmen eines dualen Studiums ein stattliches Set an Berechtigungen. Typische Prozesse zur Einschränkung der Zugriffsrechte werden auf diese Weise ausgehebelt. Dies muss nicht problematisch sein, ein zu weitreichender Zugriff auf Daten ist aber in vielen Unternehmen nicht gewünscht.

Vermeiden lassen sich solche Situationen auf zwei Arten:

  1. Berücksichtigen Sie in Berechtigungskonzepten auf jeden Fall Personen mit wechselnden Einsatzorten und Tätigkeiten. Deren vorhandene Zugriffsrechte sollten bei internen Veränderungen oder Berechtigungsanforderungen hinterfragt werden. Bei Wechsel einer Abteilung ist nur in bestimmten Situation noch ein Zugriff auf alte Daten erforderlich.
  2. Im Rahmen einer regelmäßigen Überprüfung von Berechtigungen und zugriffsberechtigten Benutzer sollten Azubis und Werksstudenten sowie alle anderen Arbeitsplatz-Veränderungen in die Stichproben-Kontrollen mit einbezogen werden.

Service-Modelle fördern Datenschutz

Betriebsinterne Umlagen und Verrechnungen für IT-Leistungen können durchaus so gestaltet werden, dass die Fachabteilungen an einem Datenschutz-konformen Setup interessiert sind.

Nicht optimal ist, wenn jede IT-bezogene Dienstleistung mit einer Gebühr belegt wird, und so beispielsweise das Beenden von Benutzerkonten bei ausgeschiedenen Mitarbeitern Geld kostet. In der Praxis haben wir es schon mehrfach erlebt, dass dann eine große Zahl von Benutzerkonten ehemaliger Mitarbeiter noch aktiv ist, um augenscheinlich Geld zu sparen.

Besser ist, die IT-Umlagen an die aktive Anzahl der Benutzerkonten zu knüpfen. Verlässt ein Mitarbeiter das Unternehmen, haben die Fachabteilungen selbst ein Interesse, möglichst schnell das Konto mit der Zuordnung auf den eigenen Bereich zu sperren, da sich auf diese Weise auch die IT-Kosten senken.

Zurück