Städtischer IT-Mitarbeiter wegen Millionendiebstahls verurteilt

In Schottland wurde diese Woche ein langjähriger IT-Mitarbeiter der Stadtverwaltung von Dundee wegen Betrugs verurteilt. Der 52-jährige war 30 Jahre bei der Stadt angestellt. 2009 begann er, die Möglichkeiten seiner Position auszunutzen, um sich für fingierte Lieferantenrechnungen selbst größere Beträge zu überweisen. Zunächst tat er das offenbar, um Spielschulden zu begleichen, danach sammelte er damit ein stattliches Vermögen an.

Wie The Register berichtet, hat der IT-Mitarbeiter die Stadt Dundee insgesamt 1.065.085,32 Britische Pfund (rund 1,156 Millionen Euro) betrogen. Über 733.000 Pfund hat er einem Bericht der lokalen Tageszeitung zufolge bereits zurückgezahlt. Außerdem wurden sein Pensionsanspruch in Höhe von 259.000 Pfund sowie sein Haus im Wert von 49.000 Pfund gepfändet und der Stadt übereignet.

Als IT-Verantwortlicher hatte der Betrüger die Möglichkeit, im digital geführten Kassenbuch der Stadt Einträge vorzunehmen. Zwischen 2009 und 2016 überwies er sich so in 17 Fällen Beträge in unterschiedlicher Höhe an mehrere ihm die gehörenden Konten. Die Überweisungen tarnte er jeweils als Zahlungen an – von ihm frei erfundene – Lieferanten der Stadt.

Auf diese Praxis wurde die Stadtverwaltung 2016 aufmerksam. Da bemerkte jemand, dass eine Zahlung an die erfundene Firma “Scottish Fuels” auf ein privates Konto des IT-Verantwortlichen bei der Bank Santander ging. Der Fall ist ein weiteres Beispiel für die von IT-Nutzern mit privilegierten Zugriffsrechten ausgehenden Risiken.

Einer Studie von Microsoft zufolge haben in Deutschland dadurch bereits 40 Prozent der Unternehmen Schäden erlitten. In zehn Prozent der befragten Unternehmen kam es zu einer unbefugten Kenntnisnahme von Daten oder Informationsdiebstahl. Dass tatsächlich größere Summen gestohlen werden ist eher selten, kann aber auch vorkommen, wie der aktuelle Fall aus Schottland zeigt.

Verantwortlich sind für solche Vorkommnisse häufig IT-Nutzer, die mit erweiterten Nutzungsrechten ausgestattet sind. Zu dieser Kategorie zählen beispielsweise Mitglieder der Geschäftsführung, Finanzchefs, Vertriebsleiter Mitarbeiter in der Personalabteilung oder eben auch IT-Mitarbeiter. Sie müssen für ihre Arbeit Zugang zu vertraulichen Informationen wie Firmen- und Kundendaten haben oder zahlreiche Systeme verwalten und bedienen können.

Sowohl um Missbrauch aufzudecken als auch diese Mitarbeiter vor ungerechtfertigten Anschuldigungen zu schützen sind daher am Markt verfügbare Produkte für “Privileged Access Management” oder “Privileged User Management” sinnvoll. Einer Studie von Balabit, einem Anbieter solcher Systeme, zufolge räumen 74 Prozent der IT-Fachleute ein, dass sie bereits “mindestens einmal” IT-Systeme des Unternehmens auf unerlaubte Weise genutzt haben. Dabei handelte es sich nicht um Lappalien: Wären diese Aktivitäten publik geworden, “hätte sie das ihren Job gekostet”, geben die Befragten zu.

Andererseits würden es 92 Prozent der Befragten begrüßen oder zumindest tolerieren, wenn ihre Tätigkeiten mithilfe eines Monitoring-Tools dokumentiert werden. Ein wesentlicher Grund dafür ist, dass sich die Hälfte der Systemverwalter Account-Daten wie Passwörter und Log-in-Namen mit Kollegen teilen, etwa bei der Administration von Servern. 41 Prozent der Administratoren gaben in der Balabit-Studie an, es wäre in mindestens einem Fall hilfreich gewesen, wenn ein Tool mitprotokolliert hätte, welcher Mitarbeiter für welche Aktionen genau verantwortlich war.