Wer meint, Best Practices einer Organisation seien nur etwas für Pedanten, wurde wieder einmal von einem Gerichtsurteil eines Besseren belehrt.
Weil er mit einem neuen Vorgesetzten nicht auskam und sich angeblich von ihm gemobbt fühlte, kündigte ein heute 30-jähriger IT-Spezialist aus Geroldswil 2011 offensichtlich voller Wut seine Stelle. Um seinen Groll gegen den Ex-Vorgesetzten so richtig ausleben zu können, kopierte er vor seinem Abgang noch diverse Passworte und Benutzernamen vom Computer des Geschäftsführers einer IT-Firma in Regensdorf. Damit brachte er dann viele Monate lang den Kalender seines einstigen Kollegen kräftig durcheinander und löschte auch Termine. So dass in Folge dieser Eingriffe Aufträge von potentiellen Kunden storniert wurden. Zudem nutzte der auf Rache programmierte IT-Spezialist seine illegalen Zugangsmöglichkeiten, um einen Kunden seines Ex-Arbeitgebers, eine Bäckerei-Kette, zu schädigen. Vor Gericht wurde nun eine Schadenssumme von 106‘000 Franken geltend gemacht – 6000 Franken bei der Bäckerei und 100‘000 Franken beim ehemaligen Arbeitgeber.
Aufgeflogen war der Mann erst nach fast zwei Jahren und dem Beizug von IT-Fahndern. Bei einer Hausdurchsuchung wurde bei ihm zudem noch ein illegales Waffenlager vorgefunden und im Zusammenhang damit Urkundenfälschung festgestellt. Dafür und für das Eindringen in ein Datenverarbeitungssystem und Datenbeschädigung bestrafte das Zürcher Bezirksgericht den Mann nun mit einer bedingten Geldstrafe von 240 Tagessätzen zu 110 Franken oder 26'400 Franken und brummte ihm dazu noch eine Busse von 4'400 Franken und Schadenersatz von 5'920 Franken für die Bäckerei auf. Die Forderung seines Ex-Arbeitgebers von 100'000 Franken wurde allerdings an ein Zivilprozessverfahren verwiesen.
Best Practices
Dass der Delinquent nach dem Ausscheiden aus der Firma derart sensitive Daten wie Passworte und Benutzernamen weiter nutzen konnte, ist für den IT-Security-Spezialisten Christoph Baumgartner von der OneConsult in Thalwil unverständlich. Wie Baumgartner gegenüber inside-it.ch festhält, "gehört es zu den allgemein üblichen Best-Practices in einem Unternehmen, dass Benutzer-Accounts beim Ausscheiden von Mitarbeitenden konsequent gelöscht werden". Falls Admin-Accounts, entgegen Best Practices, von mehreren Personen gemeinsam genutzt werden, so müssen die Passworte und Benutzernamen nach dem Ausscheiden eines Administrators konsequent geändert werden, betont er. Grundsätzlich wäre somit zumindest der externe Zugriff auf das Firmennetzwerk und damit auch den besagten Kalender vermieden worden.
Zudem gelte, dass Listen mit Zugriffs-Informationen auf Kundennetzwerke immer verschlüsselt abzulegen sind, führt Baumgartner weiter aus. Allerdings sei es bei Kundendaten, auf die der Ex-Mitarbeiter während seiner Anstellung Zugriff benötigte, schwieriger die Sicherheit zu garantieren, obwohl auch hier der Grundsatz gelte, Mitarbeitenden nur so viel Zugriff auf vertrauliche Daten zu gewähren, wie für die Aufgabenerfüllung nötig sei (sogenanntes Need-to-Know-Prinzip). Es seien hier jedoch Kosten und Nutzen abzuwägen, weil es nicht immer sinnvoll sei, bei jedem Mitarbeiterwechsel alle Kunden zur Änderung der Passworte und Benutzernamen zu bewegen. Wenn jedoch bei der Kündigung eines Mitarbeiters vermutet werden muss, dass dieser unzufrieden ist, sei auch dieser Weg zwingend, so Baumgartner. (vri)