Thought Leadership
Ein IT-Sicherheitsberater berichtet von einem Unternehmen, dessen Chef alle Mitarbeiter-Passwörter in einer Excel-Tabelle auf dem Desktop aufbewahrte.
Ein IT-Sicherheitsberater hat Details über schwerwiegende Sicherheitsmängel bei ehemaligen Kunden gegenüber The Register offengelegt. Luke Irwin, Geschäftsführer und Hauptberater bei Aegis Cybersecurity, berichtete von einem nationalen Dienstleistungsunternehmen mit rund 2.000 Mitarbeitern aus den Bereichen Reinigung, Sicherheitsdienste und Industrieklettern. Der Geschäftsführer dieses Betriebs führte eine Excel-Tabelle direkt auf seinem Desktop, in der die Benutzernamen und Passwörter sämtlicher Angestellter im Klartext hinterlegt waren.
Der Grund für diese Maßnahme war das Bestreben des Geschäftsführers, direkten Zugriff auf die E-Mail-Konten seiner Mitarbeiter zu haben. Nach einem Vorfall, bei dem vertrauliche Informationen versehentlich per E-Mail an die gesamte Belegschaft gesendet wurden, hatte der Chef eine Nacht damit verbracht, sich in jedes einzelne Konto einzuloggen, um die Nachricht manuell zu löschen. Um dies auch zukünftig selbst tun zu können, verbot er zudem die Einführung einer Multifaktor-Authentifizierung (MFA), da diese seinen Zugriff auf die Postfächer blockiert hätte. Dies geschah, obwohl das Unternehmen bereits in der Vergangenheit das Opfer eines Ransomware-Angriffs geworden war.
Datenpannen wegen Passwörter-Liste
Die Sicherheitsberater konnten den Geschäftsführer erst nach mehreren Monaten von der Löschung der Passwortliste überzeugen, indem sie ihm administrative Alternativen aufzeigten.
„Trotz wiederholter Ratschläge hielt er an dieser Position etwa vier Monate lang fest, bis wir demonstrieren konnten, dass das IT-Team Nachrichten zentral mit recht einfachen administrativen Befehlen entfernen konnte, ohne das Passwort von jedem zu benötigen.“
Luke Irwin, Geschäftsführer und Hauptberater bei Aegis Cybersecurity
Obwohl die Excel-Tabelle gelöscht wurde, weigerte sich der Geschäftsführer weiterhin, die Multifaktor-Authentifizierung für die Netzwerke freizuschalten. In der Folgezeit kam es bei dem Dienstleistungsunternehmen zu zwei weiteren Datenpannen, bei denen sensible Daten von Kunden entwendet wurden und abflossen.
Ähnliche Vorfälle in der medizinischen Branche
Laut den Berichten des Sicherheitsunternehmens ist die Ablehnung von grundlegenden Schutzmaßnahmen kein Einzelfall. Irwin betreute zudem ein Unternehmen aus dem medizinischen Sektor, das die Einführung einer Multifaktor-Authentifizierung ebenfalls ablehnte. Als Begründung gab das Management an, dass die zusätzlichen Bestätigungsschritte den Systemzugriff für externe Berater zu kompliziert gestalten würden. Während der aktiven Beratungszeit kam es zwar zu keinem akuten Einbruch, allerdings wurden im Nachgang Daten dieses medizinischen Betriebs auf Marktplätzen im Darknet entdeckt.
(red)
