IT-Sicherheit & Admin-Checks – Überblick: Unser Vorgehen und Ergebnisse zusammengefasst.
Markus C. war der wichtigste Mann in der Firma. Er war es, der als Administrator dafür sorgte, dass auf den Rechnern in der Buchhaltung keine Viren ankamen, dass im Export niemand bei Internetauktionshäusern mitsteigern konnte und dass die Einkäufer keine Pages mit sexuellem Inhalt öffnen konnten. Firewalls, Systemprogramme, E-Mails: alles lief über Markus Cs. Rechner. Lange Zeit machte sich in der Geschäftsführung niemand Gedanken über die Tatsache, dass Markus C. in seinem Büro alles steuern konnte. Erst auf einer Fachmesse wurde der Chef hellhörig: Am Stand einer Detektei sensibilisierte man ihn dafür, welche Möglichkeiten des unentdeckten Missbrauchs in der Hand des Administrators lagen.
Nicht nur, dass er sämtlichen Schriftverkehr, der über den Server lief, ungehindert lesen konnte. Ohne dass es jemand merkte, konnte Markus C. auch wichtige Daten aus allen Abteilungen einsehen und kopieren, auf Kundeninformationen und Gehaltslisten zugreifen, Kontakte und Angebotstabellen studieren. Und so lange alles lief, würde niemand dahinter kommen. „Es kann für ein Unternehmen überlebenswichtig sein, dass der Administrator kontrolliert wird.“ Dieser Satz des Wirtschaftsdetektivs hatte sich im Gedächtnis des Geschäftsführers eingebrannt.
Man hatte ihm von einem Fall berichtet, in dem ein Administrator auf Firmenkosten einen angeblich dringend notwendigen, leistungsfähigeren Server bestellte, um darauf schließlich hunderte privater Videos ablegte. Von Fällen, in denen Leute wie Markus C. Musiktauschbörsen auf dem Firmenrechner installierten und ihn damit für Unbefugte von außen zugänglich machten. Und von Fällen, in denen Unternehmensdaten gezielt ausgespäht und für gutes Geld an Mitbewerber verkauft wurden.
Das wollte der Geschäftsführer seinem Administrator nicht unterstellen. Aber er wollte sicher gehen – und schaltete die Detektei ein. Schon bald hatte der Experte einige kleine Verbesserungsvorschläge zu machen: Nicht mehr allein Markus Cs. Passwort sollte ausreichen für den Zugriff auf sensible Dateien, sondern auch noch ein weiteres, das nur der Geschäftsführung vorlag. Stichprobenartig sollte in Zukunft durch einen externen Experten der Server des Administrators auf abgelegte Dateien kontrolliert werden. Das und einige weitere Maßnahmen kosteten nicht viel Geld. Aber sie machten das Unternehmen sehr viel sicherer.