IT-Abteilung schnüffelt gerne in geheimen Daten
Mitarbeiter in IT-Abteilungen sind auch nur Menschen, und der Mensch ist nun mal von Natur aus neugierig. Wer verdient was, wann trifft sich der Vorstand zur nächsten Sitzung, wie viel Urlaub hat Frau Möller in diesem Jahr eigentlich noch?
All dies sind Fragen, die offenbar auch das Fachpersonal für Informationstechnologien nicht kalt lässt. Etwa ein Drittel aller IT-Mitarbeiter geben zu schon mal in Daten rumgeschnüffelt zu haben, auf die sie eigentlich keinen Zugriff haben sollten.
Das ergab eine Studie des Sicherheitsspezialisten Cyber-Ark Software unter IT-Leitern. Demnach gab ein Drittel zu, vertrauliche Daten ausspioniert zu haben. Dabei griffen sie auf Admin-Passwörter zurück oder nutzten andere Wege, um an die sensiblen Informationen heranzukommen.
Formuliert man die Frage etwas vorsichtiger, also etwa “haben Sie schon einmal auf Informationen zugegriffen, die für Ihre Tätigkeit nicht relevant waren?”, dann antworteten rund die Hälfte der Befragten mit ja.
“Die IT hat das Schnüffeln ermöglicht”, kommentier Mark Fullbrook, Director bei Cyber-Arks. “Es ist so einfach, alles was man braucht, ist das richtige Passwort oder einen Account mit zusätzlichen Rechten und man ist sofort in alle Geheimnisse eingeweiht, die im Unternehmen vor sich gehen.
Früher habe man in mühevoller Arbeit Fotokopien anfertigen müssen, oder den Schlüssel für den Schrank mit den Personalakten entwenden müssen. “In vielen Organisationen gibt es nur wenig Verständnis oder Kontrolle, für das was die Angestellten eigentlich tun”, so Fullbrook weiter.
Und so würden auch das mit Administrator-Passwörtern verbundene Risiko fatal unterschätzt. In den falschen Händen könnten diese Passwörter für das ausspionieren von Informationen missbraucht werden. “Darunter können sich so sensible Informationen wie Übernahmepläne, Mails des CEOs, Umsatzzahlen, Marketingpläne, gerichtliche Vorgänge und auch Forschungs- und Entwicklungsergebnisse sein”, warnt Fullbrook.
Zudem scheinen gerade für diese Art von Passwörtern oft keine Sicherheitsregeln angewandt zu werden, wie dies etwa bei den Passwörtern von Anwendern der Fall ist. Laut Umfrage wechseln 30 Prozent der Unternehmen Admin-Passwörter alle drei Monate. In 9 Prozent der Fälle, werde das Passwort überhaupt nie geändert, sodass auch Personen, die das Unternehmen bereits verlassen haben, noch im Besitz des Passwortes sind.
