Die Benutzerverwaltung auf Ihrem eigenen Rechner regeln Sie über die Systemsteuerung (ab Windows NT), in komplexen Unternehmensnetzwerken gehört sie zum sogenannten Identitäts-Management. Ein Administrator legt fest, welcher Benutzer welche Rechte erhält, Passwörter für verschiedene Ebenen werden vergeben, vom Administrator aufbewahrt und notfalls auch geändert, wenn der Kollege das Unternehmen verlässt oder andere Zugriffsrechte erhält. Es gibt leicht zu bedienende, preiswerte Software, die solche Systeme auch für KMU (kleine und mittlere Unternehmen) zur Verfügung stellt, sie laufen, einmal eingerichtet, automatisch. Eigentlich sollte man glauben, dass hier gründlich vorgegangen wird, dem ist leider nicht so.

Identity-Management unzureichend

Das Benutzerhaus Deron hat im Frühjahr 2011 in einer Studie festgestellt, dass Identity Management nur von einem Drittel der Unternehmen in erforderlicher Sorgfalt durchgeführt wird. Dabei schafft moderne Software große Erleichterungen: Der Administrator muss nicht mehr einzelne Zugänge für Mitarbeiter anlegen, damit diese in E-Mail-Accounts, CRM, ERP, sonstige Datenbanken und Anwendungen oder das komplette Data Ware House hineinkommen. Es genügt, einen Benutzer einmal anzulegen, den Rest erledigt die Software automatisch. Die Systeme sind jedoch noch neu, in einigen Unternehmen fehlt möglicherweise das technische Verständnis über grundlegende Sicherheitszusammenhänge. Es ist beispielsweise möglich, Passwörter zu hacken, bestimmte, im Netz frei verfügbare Tools benötigen dafür einige Tage. Das lohnt sich aber nur für wirklich wichtige Daten. Mit der richtigen Passwortstruktur sind also die üblichen unternehmensinternen Daten hinreichend zu schützen. Jedoch auch in Unternehmen, die immerhin Identitäts-Management (IdM) durchführen, schließen mehr als die Hälfte der Befragten kritische Sicherheitslücken nicht aus. Dabei muss mit modernen IdM-Systemen der Admin idealerweise gar keine Benutzer mehr anlegen, das geschieht schon bei der Einstellung des Mitarbeiters in der Personalstelle. Auch beim Ausscheiden aus dem Unternehmen erfolgt so die Abmeldung. Die Stelle im Unternehmen also, die am besten über Mitarbeiterstrukturen Bescheid weiß, vergibt und entzieht Benutzerrechte.

Provisorien vermeiden

Da mit der technologischen Entwicklung die Sicherheitsbedürfnisse wachsen, hält die Softwarebranche Schritt und stellt Lösungen bereit, die lückenlos funktionieren, eben auch für KMU, selbst für das Mini-Büro, in welchem die Rechte für 2 – 5 Mitarbeiter vergeben werden sollen. Diese Software muss nur eingesetzt werden, und hier hapert es. Nur in 12 Prozent aller in der Deron-Studie befragten Unternehmen geschieht das, der Rest improvisiert. Diese Improvisation erfolgt, indem der Administrator außerhalb der vorgegebenen Prozesse zusätzliche Accounts anlegt und Berechtigungen vergibt. Das geschieht zum Beispiel für Urlaubsvertretungen, Kunden oder Lieferanten. Die Software hält jedoch auch hierfür Lösungen bereit, man muss sich nur damit beschäftigen.