Wenn Mitarbeiter plaudern
Wenn ich Security-Meldungen im Internet lese, bei Heise, Golem oder sonstwo, dann werfe ich meist auch einen Blick auf die Kommentare. Die sind oft mindestens genauso aufschlussreich wie die Meldung selbst.
Dort plaudern interne und externe Mitarbeiter aus dem Nähkästchen – und was sie aus der Praxis deutscher Unternehmen berichten, gibt zu denken. So berichtet zum Beispiel der User „Legendenkiller“ im Heise-Security-Forum, dass er eine mehrseitige Geheimhaltungsvereinbarung unterschreiben musste, während im gleichen Betrieb aber Handys mit eingebauter Kamera erlaubt waren. Dabei reichen die heute üblichen Handykameras bequem aus, um Dokumente gut lesbar abzufotografieren, oder technische Anlagen detailliert zu dokumentieren. Anlass des Kommentars war eine Meldung über Sicherheitslücken in der Gasindustrie.
Eine weitere Beobachtung dieses Users ist ebenfalls bedenklich: In einem als „geheim“ klassifizierten Bereich der Firma gab es PCs mit unbeschränktem Internet-Zugang. Auf einem dieser Rechner wurde in den Pausen das beliebte Online-Rollenspiel „World of Warcraft“ gespielt. Auch wenn nähere Angaben fehlen, so ist doch klar, dass in hohen Geheimhaltungsstufen Internet-Zugänge nur sehr beschränkt vorhanden sein dürfen (oder gar nicht). Zudem erfordert das genannte Spiel die Installation einer aufwändigen Software auf der lokalen Festplatte. Die Berechtigung dafür sollten die Benutzer nicht haben. Heise berichtet im gleichen Forum von seinen Erfahrungen auf Ölbohrplattformen: „Fast alle Rechner werden auch für private Sachen wie ePost, Facebook und anderes sowie Surfen genutzt.“ Sogar im Kontrollzentrum habe er solche Anwendungen auf den Bildschirmen gesehen – und da haben sie nun wirklich nichts zu suchen. Oder nehmen wir eine Meldung über infizierte Kassensysteme in einer Hotelkette. Die Meldung selbst klingt noch relativ harmlos. Aber wenn man dann liest, was Gastronomie-Mitarbeiter in den Kommentaren aus der Praxis berichten, dann wundert man sich, das solche Angriff nicht viel öfter vorkommen. Da ist die Rede von veralteter Hard- und Software, von Fernwartung über unsichere Zgnge, Windows XP, von Passwörtern, die mit unverschlüsselter Mail verschickt werden und ähnlichen Missständen mehr.
Bedenklich finde ich dabei nicht nur den Inhalt der Beiträge, sondern auch die Tatsache, dass es sie überhaupt gibt. Wenn Mitarbeiter es nötig haben, sich in Online-Foren Luft zu machen, dann liegt die Vermutung nahe, dass sie mit den Sicherheitsmaßnahmen ihres Unternehmens unzufrieden sind und im Unternehmen keinen Ansprechpartner für ihre Hinweise haben. Wie sieht es in Ihrem Unternehmen aus? An wen können sich Mitarbeiter wenden, wenn sie Sicherheitsbedenken haben?