Schlamperei bei Personalprozessen schafft IT-Risiken

Eine Überprüfung von 70 Betrieben aus unterschiedlichen Branchen habe ergeben, dass lediglich zwei von ihnen zu 100 Prozent Datenqualität aufweisen. Das heißt, dass sich dort sämtliche in Active Directory, Lotus Notes, SAP oder weiteren geschäftskritischen Anwendungen existenten Benutzerkonten auch einer real existierenden und noch im Unternehmen beschäftigten Person zuordnen ließen. “Bei allen anderen liegt die Datenqualität meist zwischen 60 und 80 Prozent”, ergänzt Peter Weierich, Unternehmenssprecher der Völcker Informatik AG. “Das kann in zweierlei Hinsicht fatale Folgen haben: In erster Linie entsteht eine gefährliche Sicherheitslücke, zum anderen kosten beispielsweise verwaiste und dabei gar nicht mehr benötigte Benutzeraccounts eine Stange Geld.”

Könne einer Person nicht eine so genannte Unique ID zugeordnet werden, sei dem Missbrauch Tür und Tor geöffnet. Werden ursprünglich zugeteilte Berechtigungen trotz Wegfalls der Erteilungsgrundlage nicht beseitigt, sei die entsprechende Person in der Lage, unbehelligt widerrechtliche Handlungen vorzunehmen. Fehle dann noch ein Kontrollsystem, könne nicht einmal mehr nachvollzogen werden, wer wann welche Aktionen im Systembetrieb durchgeführt hat. “Aufgrund der aktuellen gesetzlichen Regelungen hat dies auch Konsequenzen für Vorstände und Geschäftsführer, da diese persönlich gegenüber dem Unternehmen haften, wenn Sie es versäumt haben, saubere Prozesse zu etablieren”, warnt Peter Weierich unter Verweis auf geltendes Recht für GmbH und Aktiengesellschaft. Finanzielle Schäden ergäben sich daraus, dass auch nicht benötigte Accounts Geld verschlingen, weil etwa gar nicht mehr benötigte SAP-Lizenzen weiterhin bezahlt werden.

Bei der Ursachenforschung ist Völcker Informatik auf typische Beispiele gestoßen, die fast alle Unternehmen betreffen. “Die Schlamperei fängt meistens in der Personalabteilung an: Personalveränderungen werden entweder gar nicht oder zu spät an die IT gemeldet. Und selbst dort, wo das HR-System mit einem Verzeichnisdienst synchronisiert wird, ziehen Versäumnisse der Personaler Fehler in der IT nach sich. Das gilt insbesondere dann, wenn die IT manuell korrigieren muss. Häufig werden temporäre Accounts für Mitarbeiter, die zwar schon arbeiten, aber noch nicht im HR-System existieren, angelegt und später nicht sauber umgestellt”, moniert Peter Weierich, der gleich noch ein anderes Beispiel hinzufügt: “Für externe oder zeitlich befristete Mitarbeiter werden anonyme Accounts eingerichtet – ‘Praktikant 1 bis 10’ -, die nach Ablauf der Unternehmenszugehörigkeit nicht gelöscht werden.

Oft wird dabei auch vergessen einzutragen, wer im Unternehmen für diesen Praktikanten zuständig ist.” In anderen Fällen verfüge jeweils ein Mitarbeiter über mehrere Benutzerkonten, die sich ihm aber nicht persönlich zuordnen lassen. “Es ist wichtig, dass jedem Mitarbeiter unternehmens- und konzernweit eine eindeutige elektronische Identität zugeordnet wird, die Einordnung der Person in Organisationsstrukturen und funktionalen Einheiten klar und widerspruchsfrei ist und nicht mehr benötigte Accounts umgehend beseitigt werden”, fasst Peter Weierich zusammen. “Unternehmen sollten in diesem Bereich ihre Prozesse weitgehend automatisieren, damit die entsprechenden Maßnahmen sichergestellt sind.”