Digital Workplace
On- und Offboarding als neuralgische Punkte
Fortsetzung des Artikels von Teil 1
IT-Security-Risiko Offboarding
Während es beim Thema Onboarding vor allem um die Produktivität und somit ein Plus für das Unternehmen geht, drohen bei nachlässigen Offboarding-Prozessen reelle Gefahren für die IT-Security und somit ernstzunehmende Datenverluste mit potenziell nachhaltigem Schaden für das Unternehmen. Der optimale Prozess hierfür wäre, dass die Personalabteilung die IT umgehend über den Austritt informiert und das IT-Team direkt reagiert. Das heißt, dass unmittelbar nach der Kündigung des Mitarbeiters alle Zugriffsrechte entzogen oder zumindest auf das Nötigste limitiert werden. Das beginnt mit dem Zugang zum Unternehmensserver, führt über den E-Mail-Account und reicht bis hin zu den Logins für Intranet oder Social Media. Dieser ideal-typische Fall lässt sich aber nicht immer stringent verfolgen, denn alle Mitarbeiter, die ihr Arbeitsverhältnis beenden, müssen ihre laufenden Prozesse professionell zu Ende bringen oder übergeben können. Aus der Sicherheitsperspektive gesehen spielt es dabei keine Rolle, ob ein Mitarbeiter initiativ gekündigt hat oder gekündigt wurde. Allerdings ist zu berücksichtigen, dass man sich nicht immer im Guten trennt. So kann ein verärgerter Ex-Mitarbeiter unternehmenskritische Daten stehlen, vernichten oder weitergeben – unter Cyberkriminellen werden Unternehmenszugänge hoch gehandelt. Sie nutzen die Identitäten etwa für Angriffe wie Social Engineering, den Diebstahl von Betriebsgeheimnissen oder für Phishing-Attacken. Offenbar handelt es sich dabei um ein weit verbreitetes Problem: Die Studie von Ivanti stellt ebenfalls fest, dass die Hälfte aller Umfrageteilnehmer jemanden kennt, der noch Zugang zu Anwendungen und Daten eines ehemaligen Arbeitgebers hat.
Automatisierung noch Mangelware
In der Praxis verfügt kaum ein Unternehmen über eine zuverlässige und automatisierte Technologie, um die Zugriffsberechtigungen einer Person für alle Anwendungen, Datenbanken, SharePoint-Instanzen oder Kommunikationsdienste restlos zu beseitigen. Einige dieser Privilegien bleiben selbst Monate nach dem Austritt eines Mitarbeiters bestehen. IT-Sicherheitstools, die Verstöße erkennen und blockieren, greifen in diesem Fall nicht. Schließlich erfolgt der Zugriff immer noch autorisiert. Deshalb ist es essenziell, ein einheitliches System für die Rechteverwaltung aufzusetzen und dieses mit anderen Systemen zu verzahnen – insbesondere mit solchen, die eine Beendigung von Zugriffsrechten anstoßen. Beispiele sind Identity & Access-Management (IAM)-Systeme ebenso wie HR-Anwendungen und Auftragsnehmer-Datenbanken. Erst dieses Level an Einheitlichkeit und Integration schafft die nötige Sicherheit, dass digitale Privilegien rechtzeitig und vollständig widerrufen werden.
Doch die gelebte Praxis sieht in vielen Unternehmen anders aus. Sei es aus Mangel an Automatisierung oder aus dem Bestreben, sich ein wenig Tipparbeit zu sparen: HR-Abteilungen sind versucht, Kündigungen „zu sammeln“ und gebündelt als Massenticket an die IT zu überweisen. Bulk-Tickets sind allerdings der beste Weg, eine Flanke in die Sicherheitsbemühungen der IT-Teams zu reißen. Denn ein solcher Prozess kolportiert die Arbeitsabläufe des Service Managements: Eine einzelne Kündigung zieht Dutzende von Prozessschritten auf Seiten der IT nach sich. Diese beinhalten den Entzug des Zugriffs auf den zentralen Server, auf E-Mails, CRM-Ressourcen, Buchhaltungs- und Finanzsysteme und vieles mehr. Danach muss über den Vorgesetzten sichergestellt werden, dass Laptop, mobile Geräte, Kreditkarte, Schlüssel und andere physische Gegenstände vor dem letzten Tag des Mitarbeiters eingezogen werden. Auch müssen E-Mails archiviert, Laptops gelöscht und Schlüsselkarten neu ausgegeben oder vernichtet werden.
Bulk-Tickets ändern an diesen Abläufen wenig – im Gegenteil. Die Gefahr ist groß, dass Prozessschritte bei Massentickets vergessen werden, was wiederum Fragen der Compliance aufwirft. Viele Unternehmen halten sich heutzutage an Standards wie PCI für den Umgang mit Kreditkartendaten, SSAE 16/18 für Finanzdienstleistungen, HIPAA/HITECH für das Gesundheitswesen, die DSGVO für Daten innerhalb der Europäischen Union oder SOC2. Diese Sicherheits-Frameworks erfordern die Fähigkeit, nachzuweisen, dass das Unternehmen bei allen Kündigungen einen transparenten Prozess verfolgt. Durch die Erstellung eines Massentickets ist es denkbar, dass Unternehmen ihre Auditfähigkeit verlieren. Und dort, wo gegebenenfalls bereits Automatisierungslösungen im Einsatz sind, erfordern sie manuelles Eingreifen der IT, was wiederum den Effizienzgewinn der HR auffressen kann.
IT-Sicherheit geht alle an
Somit lassen automatisierte On- und Offboarding-Prozesse das IT-Team effizienter arbeiten: Statt sich mit kleinteiligen manuellen Aufgaben zu befassen, kann der Service Desk mehr Zeit für komplexe Themen aufwenden und diese schneller lösen. Dies zahlt wiederum auf die Produktivität der Anwender ein. Ein automatisiertes und sicheres Endpoint Management steht und fällt allerdings mit der Aufklärung der Fachabteilungen. IT- und IT-Sicherheitsleiter sind gut beraten, sich mit ihren Kollegen aus anderen Fachabteilungen, beispielsweise der Personalabteilung auszutauschen, um dort ein Gespür zu wecken, dass IT-Sicherheit eine Business-Aufgabe ist, die alle angeht.
Bernhard Steiner ist Director PreSales EMEA Central bei Ivanti
- On- und Offboarding als neuralgische Punkte
- IT-Security-Risiko Offboarding
Lesen Sie mehr zum Thema
