IT-Mitarbeiter: Im Gott-Modus ist nichts unmöglich

Fachbeitrag

Die IT ist aus der modernen Geschäftswelt nicht wegzudenken und essenziell für jedes Unternehmen. Dafür, dass sie funktioniert, sorgen die IT-Mitarbeiter. Aufgrund ihrer Arbeit bekommen sie tiefe Einblicke in jeden Geschäftsbereich. Das ist notwendig, praktisch und gefährlich zugleich.

In der Theorie

In so gut wie keinem anderen Berufsfeld fallen die theoretischen und faktischen Machtverhältnisse so weit auseinander wie in IT-Berufen. Systemadministratoren sind in der Regel als ganz normale Arbeitnehmer angestellt und stehen in der Hierarchie unter der Unternehmensleitung und den Fachabteilungsleitern. Ihre Aufgabe besteht grob gesagt darin sicherzustellen, dass die IT-Infrastruktur funktioniert und die anderen Abteilungen ihrer Arbeit reibungslos nachgehen können. Genaueres regelt der Arbeitsvertrag. Klingt also nach einem ganz normalen Arbeitgeber-(oben)-Arbeitnehmer-(unten)-Verhältnis. So zumindest in der Theorie.

In der Praxis

Diese Sichtweise spiegelt aber bei weitem nicht die faktischen bzw. tatsächlichen Machtverhältnisse wieder. Provokant ausgedrückt könnte sogar behauptet werden, dass ITler mindestens auf Vorstandsebene anzusiedeln sind, wenn nicht sogar darüber. Das hat mehrere Gründe: zunächst einmal haben sie das Wissen, wie genau die IT aufgestellt ist. Sie wachen darüber, wer welche Systeme nutzt, vergeben und entziehen Rechte. Sie selbst haben grundsätzlich Admin-Rechte; andernfalls wäre ihre Arbeit auch nicht möglich. Damit können sie Einsicht in alle datenverarbeiten Prozesse nehmen, bspw. sehen, wer sich wann anmeldet, wer welches Gehalt bezieht, wer welche Seiten besucht und wer welche E-Mails an wen wann mit welchem Inhalt schreibt. Selbstverständlich wäre es einem Administrator auch möglich das gesamte System ganz oder teilweise unwiderruflich abzuschalten. Sie sind der Gott im System. Getreu nach dem universellen IT-Motto: Nichts ist unmöglich.

Verboten heißt nicht unmöglich

Das alles ist nicht neu, geschweige denn unbekannt. Und dennoch ist es vielen nicht bewusst. Sollte es aber. Jüngst musste selbst der sächsische Verfassungsschutz erfahren, dass auch er nicht vor verbotenen (aber praktisch möglichen) Handlungen gefreit ist. So kopierte sich ein Systemadministrator kurzerhand brisante Daten auf einen Stick und nahm diesen an sich. Das ganze kam nur zum Vorschein, da ein Kollege das Vorgehen zufällig bemerkte. Hätte es der Zufall nicht gewollt, wäre die Sache vermutlich nie zum Vorschein gekommen. Von einer Dunkelziffer mal ganz abgesehen.

Vertrauen ist gut

Die Frage die sich nun stellt ist die, wie solchen Vorfällen vorgebeugt werden kann bzw. welche Sicherheiten es gibt. Um das Ergebnis vorwegzunehmen: eine absolute Sicherheit gibt es nicht. Aber es gibt einige Möglichkeiten zumindest in die Nähe einer gefühlten Sicherheit zu kommen.

So könnte bspw. ein SIEM-Server installiert werden. Dieser ist, vereinfacht dargestellt, dafür zuständig, sicherheitsrelevante Prozesse aufzuzeichnen und bei Auffälligkeiten vordefinierte Prozesse auszulösen. Ähnliches vermögen Endpoint-Security-Lösungen für das eigene Netzwerk. Das klingt erstmal gut und doch könnte ein Administrator genau diese Lösungen mit seinen Rechten ausschalten und anschließend unbemerkt sein Unwesen treiben. Womit wir wieder bei der Ausgangssituation wären.

Das Dilemma: Wer überwacht die Überwacher?

Da die oben genannten Lösungen zwar sinnvoll, aber in ihrer Reichweite begrenzt sind, kommt man am Ende des Tages an einer Maßnahme nicht vorbei: die gewissenhafte Auswahl der IT-Mitarbeiter. Nicht nur mit ihrer Fachkompetenz, sondern auch mit ihrem Charakter steht und fällt die IT-Sicherheit eines Unternehmens. Ein Mitarbeiter kann noch so kompetent sein; wenn er sich dem Unternehmen, dem Gesetz und ethischen Grundsätzen nicht verpflichtet fühlt, kann das unangenehme Konsequenzen mit sich bringen. Kann! Auf keinen Fall soll dieser Beitrag dazu führen, dass seinen ITlern nun ein grundsätzliches Misstrauen entgegengebracht wird. Es soll lediglich ein Bewusstsein dafür geschaffen werden, welche Macht diese Position mit sich bringt und welche Abhängigkeiten bestehen. Daher noch zwei Binsenweisheiten zu Schluss:

  1. Ein gutes Verhältnis zu seinen Administratoren in jedem Fall von Vorteil.
  2. Doppelt hält besser: ein 4-Augen-Prinzip in der IT-Abteilung kann schon einen deutlichen Zuwachs an Sicherheit mit sich bringen.
intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

IT-Sicherheit

Ein Kommentar zu diesem Beitrag

  1. Die überragende Bedeutung der IT liegt m.E. nicht im Besitz und Gebrauch von Admin-Rechten, sondern darin, dass IT oft der einzige Bereich ist, in dem fachabteilungsübergreifendes Prozesswissen vorhanden ist. Damit kann die IT helfen, Silo-Denken und Einzelinteressen im Unternehmen zu überwinden. Voraussetzung: IT begreift sich als Gestalter im Unternehmen und nicht als bloßer Erfüllungsgehilfe.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.