Thought Leadership
Um Aufgaben im Arbeitsalltag schneller und effektiver zu erfüllen, ist die Suche nach Abkürzungen Gang und Gebe.
In Kombination mit dem technologischen Fortschritt erreicht die Effizienz menschlicher Arbeit so immer neue Höhen und das bringt Unternehmen unwissentlich in eine Zwickmühle: Die zwischen Sicherheit und Produktivität. Wenn ein Mitarbeiter einen Weg findet, seine Arbeit schneller oder besser zu erledigen, die Bearbeitung von Zugriffsanfragen durch die IT-Abteilung aber zu lange dauert oder zu kompliziert ist, dann finden Mitarbeiter oftmals „kreative“ Lösungen, um trotzdem weiterarbeiten zu können. Diese „Workarounds“ entstehen selten aus böser Absicht. Allerdings stellen sie gravierende Sicherheitslücken dar, denen sich viele Beschäftigte und Führungskräfte nicht bewusst sind.
Abkürzungen für Mitarbeiter sind Schnellstraßen für Hacker
Ob der Versand vertraulicher Daten über private Filesharing-Dienste, das Teilen von Passwörtern per Chat oder der Einsatz nicht genehmigter Tools: Improvisierte Lösungen sind aus Sicht der Mitarbeiter manchmal schneller als offizielle Freigaben durch die IT-Abteilung oder Führungskräfte. Doch wenn Mitarbeiter und Führungskräfte hier abkürzen, bieten sie Hackern an, das gleiche zu tun, denn: Wer Sicherheitsvorgaben umgeht, vergrößert auch die Angriffsfläche des Unternehmens.
Doch was ist mit „Abkürzungen“ gemeint? Zwei Beispiele machen die Gefahrenquelle klarer:
Geteilte Administrator-Accounts
In Projekten mit engem Zeitplan passiert es häufig, dass mehrere Teammitglieder ein einziges Administrator-Konto nutzen, weil das Anlegen individueller Berechtigungen vermeintlich zu lange dauert.
Das Sicherheitsrisiko: Die Nutzung geteilter Konten zerstört die Nachvollziehbarkeit („Wer hat was wann getan?“) und macht Anomalie-Erkennung fast unmöglich. Für Hacker ist das ein gefundenes Fressen: Werden Passwörter zwischen Kollegen im Klartext geteilt, sind diese einfacher abzufangen, und werden seltener gewechselt. Einmal gekapert, können Angreifer unter diesem Sammelkonto länger unentdeckt agieren. Kommt es dann zu einem Sicherheitsvorfall, lässt sich die Verantwortung nicht zuordnen.
Privater Cloud-Speicher für schnellen Datenaustausch
Wenn externe Partner kurzfristig Zugriff auf große Dateien brauchen, greifen Mitarbeiter oft zu privaten Cloud-Diensten wie Dropbox oder Google Drive, statt auf den freizugebenden, aber geschützten Unternehmensspeicher zu warten.
Das Sicherheitsrisiko: Der Transfer findet komplett außerhalb der Identitäts- und Zugriffskontrolle des Unternehmens statt. Keine Richtlinien, keine Rezertifizierung, keine automatisierte Rechteentziehung. Daten verbleiben unter Umständen dauerhaft im privaten Account und damit außerhalb des Geltungsbereichs der Sicherheits- und Compliance-Vorgaben.
Besonders problematisch wird es, wenn Praktiken wie die beiden genannten zur Gewohnheit werden. Zudem darf man nicht vergessen: Es ist ausgesprochen unwahrscheinlich, dass lediglich ein Mitarbeiter diese Beispiele von „Schatten-IT“ praktiziert. Oft gibt es vielfältige Arten von Workarounds in Eigenregie, die sich von Mitarbeiter zu Mitarbeiter unterscheiden. So kumulieren sich Gefahrenquellen. Aus Sicht der IT-Sicherheit sind diese Vorgehensweisen ein blinder Fleck: Sie tauchen in keinem offiziellen Prozessdiagramm auf, bleiben in Zugriffsprotokollen unsichtbar und entziehen sich gängigen Kontrollmechanismen.
Warum Zeitdruck ein Einfallstor ist
Cyberkriminelle wissen, wie sehr moderne Organisationen auf Geschwindigkeit angewiesen sind. Sie nutzen menschliche Faktoren gezielt aus: Über Social Engineering, Phishing und den so erbeuteten Missbrauch legitimer Zugangsdaten. Ein kompromittiertes Mitarbeiterkonto, das durch einen Workaround zusätzliche Berechtigungen erhalten hat, kann in kürzester Zeit massiven Schaden anrichten. Studien zeigen, dass der Missbrauch von Identitäten längst zu den häufigsten Einfallstoren für Angriffe zählt.
Traditionell galt in vielen Unternehmen: Je strenger die Sicherheitsvorgaben, desto langsamer die Prozesse. Diese Sichtweise ist überholt. Moderne Ansätze in der Identity Governance and Administration (IGA) zeigen, dass Sicherheit und Effizienz kein Widerspruch sein müssen.
Automatisierte Genehmigungs-Workflows, rollenbasierte Zugriffskonzepte und kontextabhängige Freigaben machen es möglich, Zugriffe schnell und kontrolliert zu vergeben. Dafür braucht es keine monatelangen Rollendefinitionen oder langwierigen manuellen Prüfungen mehr. Automatisierte Zugriffsprozesse reduzieren nicht nur den administrativen Aufwand, sondern nehmen Mitarbeitern auch den Anreiz, eigene, unsichere Lösungen zu suchen. So führen gute Absichten auch nicht zu unabsichtlichen Sicherheitslücken.
Das Risiko ungenutzter Berechtigungen
Ein weiteres Problem: Einmal erteilte Zugriffsrechte werden oft nicht wieder entzogen. Viele sogenannte „verwaiste Konten“ mit vielen und ggf. privilegierten Berechtigungen bleiben ungenutzt, werden vergessen und stellen damit ein Sicherheitsrisiko dar. In einem hektischen Arbeitsumfeld führt das schnell zu einer schleichenden Berechtigungsausweitung im Dunkeln. Regelmäßige Überprüfungen und automatisierte Rezertifizierungen sind deshalb kein bürokratischer Luxus, sondern notwendige Prävention.
Reaktive Sicherheitsstrategien greifen deshalb oft zu spät. Wer erst nach einem Vorfall prüft, welche Konten kompromittiert wurden, hat den Schaden meist schon erlitten. IGA ermöglicht es, Risiken im Zugriffsumfeld in Echtzeit zu erkennen und proaktiv zu handeln – etwa, wenn ein Mitarbeiter plötzlich auf Systeme zugreift, die nicht zu seinem Aufgabenbereich gehören.
Kulturfrage Sicherheit
Technologie allein löst das Problem nicht. Unternehmen müssen eine Kultur fördern, in der Sicherheit nicht als Hindernis, sondern als selbstverständlicher Teil der Arbeit verstanden wird. Dazu gehört, dass Prozesse so gestaltet sind, dass Mitarbeiter keinen Grund haben, sie zu umgehen. Nur wenn IT, Fachbereiche und Sicherheitsverantwortliche gemeinsam daran arbeiten, lassen sich Workarounds auflösen, bevor sie entstehen.
Denn Workarounds sind oft ein Symptom für ineffiziente oder überkomplexe Prozesse. Sie machen Unternehmen nicht schneller, sondern angreifbarer. Wer sie verhindern will, muss Sicherheit und Geschwindigkeit als gleichrangige Ziele behandeln, Mitarbeiter fragen, was sie für ihre Arbeit brauchen, und den Zugang zu Systemen so gestalten, dass er ebenso reibungslos wie kontrolliert ist.
Abteilungswechsel, Beförderungen und Projekte gehören zum Alltag eines jeden Unternehmens. Passen sich Berechtigungen automatisch an neue Aufgabenbereiche an, arbeiten Mitarbeiter produktiver. Die administrative Last von Rezertifizierungen und Genehmigungen im Management wird reduziert, und es gibt weniger Tickets in der IT. Sicherheitsvorfällen wird aktiv vorgebeugt.
Die aktive Gestaltung von Identity Management erlaubt Synergieeffekte, zur gleichzeitigen Steigerung von Produktivität und Sicherheit. Neue Technologien und Ansätze lösen diesen klassischen Balanceakt, und machen gelebte Cybersecurity zu einem strategischen Vorteil für Unternehmen.
