Schlampereien bei Personalprozessen schaffen IT-Risiken
Völcker Informatik diagnostiziert Datenqualität von Berechtigungssystemen: Nur zwei von siebzig Unternehmen kommen auf hundert Prozent
Berlin/München, 21. April 2009 – Laut Angaben des Anbieters von Identity-Management- und Auditing-Systemen, Völcker Informatik, haben viele deutsche Unternehmen im Rahmen der Benutzerverwaltung mit einer unzureichenden Qualität der Personal- und Berechtigungsdaten zu kämpfen. Eine Überprüfung von siebzig Betrieben aus unterschiedlichen Branchen habe ergeben, dass lediglich zwei von ihnen zu hundert Prozent Datenqualität aufweisen. Das heißt, dass sich dort sämtliche in Active Directory, Lotus Notes, SAP oder weiteren geschäftskritischen Anwendungen existenten Benutzerkonten auch einer real existierenden und noch im Unternehmen beschäftigten Person zuordnen ließen. „Bei allen anderen liegt die Datenqualität meist zwischen sechzig und achtzig Prozent“, ergänzt Peter Weierich, Unternehmenssprecher der Völcker Informatik AG. „Das kann in zweierlei Hinsicht fatale Folgen haben: In erster Linie entsteht eine gefährliche Sicherheitslücke, zum anderen kosten beispielsweise verwaiste und dabei gar nicht mehr benötigte Benutzeraccounts eine Stange Geld.“
Könne einer Person nicht eine so genannte Unique ID zugeordnet werden, sei dem Missbrauch Tür und Tor geöffnet. Werden ursprünglich zugeteilte Berechtigungen trotz Wegfalls der Erteilungsgrundlage nicht beseitigt, sei die entsprechende Person in der Lage, unbehelligt widerrechtliche Handlungen vorzunehmen. Fehle dann noch ein Kontrollsystem, könne nicht einmal mehr nachvollzogen werden, wer wann welche Aktionen im Systembetrieb durchgeführt hat. „Aufgrund der aktuellen gesetzlichen Regelungen hat dies auch Konsequenzen für Vorstände und Geschäftsführer, da diese persönlich gegenüber dem Unternehmen haften, wenn Sie es versäumt haben, saubere Prozesse zu etablieren“, warnt Peter Weierich unter Verweis auf geltendes Recht für GmbH und Aktiengesellschaft. Finanzielle Schäden ergäben sich daraus, dass auch nicht benötigte Accounts Geld verschlingen, weil etwa gar nicht mehr benötigte SAP-Lizenzen weiterhin bezahlt werden.
Bei der Ursachenforschung ist Völcker Informatik auf typische Beispiele gestoßen, die fast alle Unternehmen betreffen. „Die Schlamperei fängt meistens in der Personalabteilung an: Personalveränderungen werden entweder gar nicht oder zu spät an die IT gemeldet. Und selbst dort, wo das HR-System mit einem Verzeichnisdienst synchronisiert wird, ziehen Versäumnisse der Personaler Fehler in der IT nach sich. Das gilt insbesondere dann, wenn die IT manuell korrigieren muss. Häufig werden temporäre Accounts für Mitarbeiter, die zwar schon arbeiten, aber noch nicht im HR-System existieren, angelegt und später nicht sauber umgestellt“, moniert Peter Weierich, der gleich noch ein anderes Beispiel hinzufügt: „Für externe oder zeitlich befristete Mitarbeiter werden anonyme Accounts eingerichtet – ‚Praktikant 1 bis 10′ -, die nach Ablauf der Unternehmenszugehörigkeit nicht gelöscht werden. Oft wird dabei auch vergessen einzutragen, wer im Unternehmen für diesen Praktikanten zuständig ist.“ In anderen Fällen verfüge jeweils ein Mitarbeiter über mehrere Benutzerkonten, die sich ihm aber nicht persönlich zuordnen lassen. „Es ist wichtig, dass jedem Mitarbeiter unternehmens- und konzernweit eine eindeutige elektronische Identität zugeordnet wird, die Einordnung der Person in Organisationsstrukturen und funktionalen Einheiten klar und widerspruchsfrei ist und nicht mehr benötigte Accounts umgehend beseitigt werden“, fasst Peter Weierich zusammen. „Unternehmen sollten in diesem Bereich ihre Prozesse weitgehend automatisieren, damit die entsprechenden Maßnahmen sichergestellt sind.“
Völcker Informatik ist führender Anbieter von Identity Management und Auditing Systemen, einem zentralen Element bei der Etablierung eines möglichst hohen Niveaus der Datensicherheit in jedem Unternehmen und jeder Behörde. Viele Konzerne, mittelständische Firmen und öffentliche Einrichtungen verlassen sich heute bereits bei der Verwaltung ihrer Zugriffsrechte auf die Völcker-Software ActiveEntry, die alle Bereiche des Identity Management einschließlich User Provisioning und Identity Auditing umfasst. Zu den Kunden des 1995 in Berlin gegründeten Unternehmens zählen unter anderen AOK, Bofrost, verschiedene Kantonalbanken und Industrie- und Handelskammern, die Bayer AG, die Landeshauptstadt München und Veltins.
Weitere Informationen: Völcker Informatik AG, Fasanenstraße 33, 10719 Berlin Tel. 030 399254-0, Fax: 030 399254-54, E-Mail: kontakt@voelcker.com
Presse: Peter Weierich, Tel. 030 399254-143, E-Mail: presse@voelcker.com
PR-Agentur: EuroMarcom Dripke&Partner PR, Tel. 0611 973150, Mail: team@euromarcom.de