Schlüsselgewalt
Sicherheitsprobleme beim Outsourcing
Copyright (C) 02/2001 by Howard Fuhs
In Zeiten, wo immer mehr Unternehmen sich auf ihr Kerngeschäft (auch Core-Business genannt) besinnen, sind sie gleichermaßen gezwungen Dienstleistungen von externen Anbietern einzukaufen (auch als Outsourcing bekannt), die zuvor unternehmensintern angeboten wurden. Gute Zeiten also für Dienstleister und Outsourcer. Nehmen wir z.B. die Raumpflege. Wer leert heute noch seinen eigenen Papierkorb aus oder sorgt für die entsprechende Sauberkeit rund um seinen Arbeitsplatz? Es sind solche Dienstleistungen, die heute von Unternehmen außer Haus einkauft werden. Der dadurch entstehende Nebeneffekt ist, dass durch externe Dienstleister heutzutage mit einem gewissen Anteil von Fremdarbeitern in den Geschäftsräumlichkeiten einer Firma gerechnet werden muss.
Das Problem, welches sich daraus ergibt ist, dass gerade über externe Dienstleistungsanbieter Informationen aus einer Firma abgeschöpft werden können, wenn ungehindert und unkontrolliert zu allen Bereichen und Räumlichkeiten des Unternehmens Zugang gewährt wird. Wer sich die Warnungen des Verfassungsschutz zum Thema Wirtschaftsspionage anschaut oder sich die Zeit nimmt, die bisher öffentlich bekannt gewordenen Fälle zu recherchieren, der wird schnell feststellen, dass die Wahrscheinlichkeit der Spionage gegen Unternehmen größer ist als allgemein angenommen wird. Es sei auch an dieser Stelle darauf hingewiesen, dass Wirtschaftsspionage nicht von einem der bekannten Geheimdienste ausgehen muss. Es kann auch ein Mitbewerber sein, der sich der Hilfe eines Dienstleisters für gezielte Wirtschaftsspionage bedient, denn auch die Wirtschaftsspionage ist ein lukratives Betätigungsfeld für externe Dienstleister und über das Internet eröffnet sich ein riesiger Markt für Leistungsanbieter und Informationssuchende.
Interessant ist bei Sicherheitsaudits in Unternehmen immer die Frage der Zutrittskontrolle zu wichtigen Unternehmensbereichen. Diese Zutrittskontrolle wird in den meisten Fällen einfach durch Schlüssel geregelt. Wer Zutritt zu einem bestimmten Raum benötigt, bekommt den dazu passenden Türschlüssel. Bei Schließanlagen bekommt man dann durch einen Schlüssel oftmals Zugang zu ganzen Gebäudeteilen. Am stärksten ist die Zutrittseinschränkung im IT-Bereich bei Server-Räumen und bei den Räumen der Geschäftsleitung. Hier werden in einem Unternehmen die wenigsten Schlüssel nur an einige Auserwählte vergeben - und natürlich an das Raumpflegepersonal. Man stelle sich das einmal bildlich vor, im eigenen Unternehmen wird nur den wenigsten Angestellten soweit getraut, dass sie Zugang zum Server-Raum erhalten, doch der betriebsfremden Raumpflegefachkraft, die mit einem Putzeimer voll Wasser durch den Server-Raum geht, bringt man so uneingeschränktes Vertrauen entgegen, dass man ihr nicht nur den Zutritt gewährt, sondern diesen auch noch zu Zeiten, an denen die Administratoren und Unternehmensverantwortlichen nicht mehr im Unternehmen anwesend sind, nämlich nach Arbeitsschluss. Die Geschichten über Reinigungskräfte, die im Server-Raum Schäden anrichteten, sind Legende, vom "abgesoffenen Server" voll mit Putzwasser über gezogene Stecker bis hin zu vertauschten Tastaturen usw.
Wo bewahren Sie eigentlich Ihre Backup-Bänder auf? Im Server-Raum? In einem verschlossenen Schrank oder Safe? Die gängige Praxis zeigt, dass Datensicherungsmedien meistens offen im Regal oder auf dem Tisch liegen, bis sich jemand erbarmt sie wegzuschließen. Wenn überhaupt. Nicht gerade wenig Unternehmen verfügen nicht einmal über einen abschließbaren Schrank zur Aufbewahrung der Sicherungskopien. Damit eignet sich der Beruf der Reinigungskraft auch hervorragend zur Wirtschaftsspionage. Man erhält zu allen Räumlichkeiten Zutritt und wirkt dabei unverdächtig. Und welcher Systemadministrator zählt morgens denn die Anzahl der Backup-Bänder im Regal?
Wird die Pflege der Räumlichkeiten sowie der Hausmeisterservice durch externe Dienstleister erledigt, stellt sich noch ein weiteres Problem. Es muss mit ständig wechselndem Personal bei den Dienstleistern gerechnet werden, was zur Folge hat, dass die Reinigungskraft von gestern nicht notwendigerweise auch heute in Ihrem Unternehmen ihre Tätigkeit verrichtet. Da solche Arbeiten in aller Regel schlecht bezahlte Nebenjobs für minder qualifizierte Arbeitskräfte sind, ist die Personalfluktuation in dieser Branche recht hoch.
Doch wie kann in einem Unternehmen die Sicherheit trotz Fremdarbeitern erhöht werden? Vor allem der Serverraum sollte für dieses Personal nicht zugänglich sein, bzw. nur in Begleitung durch einen autorisierten Mitarbeiter des Unternehmens. Gleiches gilt für alle Räumlichkeiten der Geschäftsleitung. In allen Räumlichkeiten des Unternehmens sollten abschließbare Schreibtische und Schränke zur Verfügung stehen in denen Papiere und Akten nach Arbeitsschluss weggeschlossen werden. Die Arbeitnehmer müssen entsprechend auf die Gefahr und die Notwendigkeit des Wegschließens aufmerksam gemacht werden. Auch sollten die Unternehmensbeschäftigten sich nach Arbeitsschluss aus dem Netzwerk ausloggen und den PC ordnungsgemäß herunterfahren. Weiterhin sollte auch überprüft werden, welche Personen über Generalschlüssel zu den Gebäuden verfügen. Der Serverraum sollte nicht durch einen Generalschlüssel geöffnet werden können. Der Personenkreis, der physischen Zugang zum Serverraum erhält, sollte so klein wie möglich gehalten werden.
Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Autors unzulässig und strafbar.
Copyright (C) 02/2001 by Howard Fuhs