Wenn das Mitarbeiter-Offboarding zur Sicherheitslücke wird

Nach der Entlassung das böse Erwachen: In einem aktuellen Fall vernichtete eine Mitarbeiterin einer US-amerikanischen Kreditgenossenschaft 21 GB vertraulicher Daten, nachdem ihr gekündigt worden war. Obwohl sie bereits als potenzielle Gefahr wahrgenommen wurde, hatte die IT ihren Netzwerkzugriff zu spät deaktiviert. Etwa 40 Minuten lang konnte die Person remote auf den Dateiserver zugreifen und Daten löschen. Der Schaden belief sich auf 10000 US-Dollar. Dies ist kein Einzelfall, wie das Ponemon Institute in seiner Studie «Insider Threats Report 2020» zeigt. Die knapp 1000 weltweit befragten Unternehmen gaben an, dass fast jeder vierte durch Mitarbeitende verursachte Sicherheitsvorfall auf kriminellen Motiven beruht, bei 14 Prozent lag der Diebstahl von Anmeldedaten vor. Dass jeder sechste Zwischenfall «nur» auf Fahrlässigkeit zurückzuführen ist, macht die Sachlage nicht besser. Jedes Vorkommnis kostet letztlich Zeit und Geld, um die Schäden zu beseitigen.

Vom analogen Kavaliersdelikt zur digitalen Straftat

Offensichtlich sind die Zeiten vorbei, in der unzufriedene Abgänger Bleistifte stehlen oder böswillig Akten falsch führen. Heute werden sensible digitale Informationen heimlich kopiert, Geschäftskontakte mitgenommen und im schlimmsten Falle Dateien im Netzwerk manipuliert oder gelöscht. Das Kavaliersdelikt der analogen Welt entpuppt sich als Straftat in der digitalen.

Diese Beispiele zeigen deutlich, dass beim Offboarding höchste Sorgfalt angebracht ist – und hier spielt die IT-Sicherheitsabteilung eine grössere Rolle als bislang angenommen. Es reicht heute nicht mehr aus, die Mitarbeiter-Chipkarten und Arbeitsgeräte (von Notebook bis Smartphone) einzusammeln sowie das E-Mail-Postfach zu deaktivieren. Vielmehr müssen u.a. auch alle Zugänge zu Messengern, Tools, Cloud-Diensten oder Netzwerken geändert bzw. geschlossen werden. Dies ist in den Offboarding-Checklisten vieler Unternehmen noch nicht oder nur ansatzweise enthalten.

Richtig kritisch wird die Situation, wenn Mitarbeitende ihren Entschluss zum Firmenabschied schon lange zuvor gefasst haben. Das Problem der «inneren Kündigung» wirkt sich in der Praxis direkt auf das sicherheitstechnische Verhalten aus: So nehmen es diese Personen oftmals mit den Security Policies nicht mehr so genau, bleiben im Umgang mit E-Mails weniger achtsam oder geben sensible Daten preis. Im schlimmsten Fall stellt dieses Verhalten über einen längeren Zeitraum ein enormes Gefährdungspotenzial dar. Experten vergleichen diese Akteure mit den sogenannten Innentätern, die durch bewusst fahrlässiges Verhalten oder kriminelle Absichten als Sicherheitsrisiko einzustufen sind. Die Agentur der Europäischen Union für Cybersicherheit (ENISA) hat das Problem der Innentäter erkannt und in die Liste der Top-15-Bedrohungen aufgenommen.

Wenn Insiderwissen ausgenutzt wird …

Dies ist aber noch nicht das Ende der Fahnenstange. Selbst nach dem Abschied bleiben Ex-Mitarbeitende eine Gefahrenquelle. So meldete die Ruag im Mai 2021 einen angeblichen Hackerangriff auf die eigenen IT-Systeme. Und die Spurensuche verblüffte die Experten: In den Log-Dateien waren keine Hinweise auf eine Attacke zu finden. Schnell stand die Vermutung im Raum, dass ehemalige Unternehmensangehörige mit ihrem Insiderwissen dafür verantwortlich seien. Vor diesem Hintergrund sollte das Mitarbeiter-Offboarding unbedingt in das IT-Risikomanagement miteinbezogen werden. Dies geschieht aktuell noch seltener als die Berücksichtigung des Mitarbeiterabschieds unter Security-Gesichtspunkten. Das sogenannte Risk-Management behandelt in vielen Unternehmen vorrangig die physische Sicherheit der IT. Das ist auch völlig richtig, denn die meisten Risiken ergeben sich durch die Gefahren, die allen eingesetzten digitalen Geräten drohen. Immer mehr rücken jedoch «weiche Faktoren» ins Rampenlicht, die einen Sicherheitsvorfall verursachen können. Damit ist in erster Linie der Mitarbeiter allgemein angesprochen, der durch sein Verhalten das Sicherheitsniveau des Unternehmens beeinflusst. Aber auch Vorgesetzte und sogar Administratoren kommen als Risiko ins Spiel, wenn sie Prozesse unsauber aufsetzen oder missverständlich kommunizieren. Oder – wie beim Verlassen von Mitarbeitenden – die IT-Sicherheit nicht vollumfänglich im Prozess berücksichtigt wird. Ein erfolgreiches Risikomanagement steht und fällt mit der Bewertung aller Risiken.

Sicheres Offboarding: Kurze Checkliste für die IT-Sicherheit

Unternehmenslenker sind gut beraten, den Offboarding-Prozess in puncto IT-Sicherheit schnellstens zu überarbeiten. Oftmals müssen vorhandene Checklisten lediglich erweitert oder Richtlinien der Lage angepasst werden. Experten empfehlen zudem, das Risikomanagement auf Gefahren durch den Weggang von Mitarbeitenden hin zu erweitern. So lassen sich finanzielle Schäden und Reputationsverluste durch scheidende Ex-Kollegen effektiv vermeiden.
Darüber hinaus sollten IT-Verantwortliche unbedingt diese Basisprozesse einsetzen:

• Zugriffrechte widerrufen und Passwörter für alle Apps und Dienste zurücksetzen
• Gebäudezugang sperren
• Alle physischen Geräte des Unternehmens zurückfordern
• E-Mail-Weiterleitungen und Dateifreigaben verhindern
• Lizenzen anderen Benutzern zuweisen
• Abschlussgespräch durchführen, um auf verdächtiges Verhalten zu prüfen
• Abschliessende Überprüfung der Überwachungs-/Protokollierungs-Tools bezüglich Hinweisen auf ungewöhnliche Aktivitäten
• Einschaltung von Personalabteilung oder Rechtsanwalt, wenn verdächtige Aktivitäten festgestellt werden

Autor

Michael Klatte arbeitet als PR-Manager seit 2008 für ESET Deutschland. Sein Tätigkeitsbereich umfasst die Unternehmens- und B2B-Kommunikation im DACH-Raum. ESET ist ein europäisches Unternehmen, das Sicherheitssoftware entwickelt, die bereits bei über 110 Millionen Benutzern im Einsatz steht.
> www.eset.ch