Von Spitzelei bis Hardwareklau

Die Schattenseite der IT-Welt

Christiane Pütter ist Journalistin aus München. Sie schreibt über IT, Business und Wissenschaft. Zu ihren Auftraggebern zählen neben CIO und Computerwoche mehrere Corporate-Publishing-Magazine, vor allem im Bereich Banken/Versicherungen.
Jeder System-Administrator ist ein potenzieller Snowden und IT-Mitarbeiter klauen Hardware - so lauten, überspitzt formuliert, zwei von sechs dunklen Geheimnissen der IT-Welt.

Ein Leben voller Logik, ein Bereich der klaren Regeln - wer sich so die Arbeit von Informatikern vorstellt, irrt. Hinter den Kulissen laufen unkontrollierbare und ungeregelte Dinge ab, wie jedenfalls unsere US-Schwesterpublikation cio.com zu behaupten wagt.

Behauptung 1: System-Administratoren haben die gesamt Firma im Würgegriff

Der wohl bekannteste Systemadministrator mit eigenen Plänen heißt Edward Snowden. So spektakulär ist hoffentlich nicht jeder Fall, doch ein offenes Geheimnis ist, dass Systemadministratoren nahezu sämtliche Daten einsehen könne. Das behauptet zumindest Pierluigi Stella, Chief Technical Officer (CTO) beim Provider Network Box USA: Er könne sehen, was für Nachrichten die Mitarbeiter verschicken, wo sie im Internet surfen und was sie auf Facebook posten. Man dürfe ihn sich ruhig als Miniatur-Ausgabe der NSA vorstellen, so Stella offen. Er weiß seine Adressaten jedoch zu beruhigen: Ethische Bedenken hielten Administratoren vom Missbrauch ihrer Macht ab, versichert er.

Edward Snowden
Edward Snowden
Foto: YouTube / Guardian

Tsion Gonen, Chef-Stratege beim Anbieter Safenet, glaubt, dass CIOs dieses Problem unterschätzen. "Ein Unternehmen ist immer nur so sicher wie die ethische Haltung seiner IT-Administratoren", gibt er zu Bedenken. Er geht davon aus, dass Missbrauch einmal pro Woche vorkommt.

Helfen kann in diesem Fall ein differenziertes Berechtigungsmodell, fügt david Gibson an, Vice President beim Provider Varonis. Der faktische Zugang zu Daten müsse dennoch kontinuierlich überwacht werden.

Behauptung 2: ITler nehmen ausgediente Hardware mit

Ausgedient ist ausgedient, scheint mancher alte IT-Mitarbeiter zu denken - und greift alte Hardware ab. Das sei gang und gäbe, behauptet Kyle Marks, CEO von Retire-IT. Die Firma ist auf Fraud und Privacy Compliance spezialisiert. Wer sich so verhalte, habe meist gar kein Schuldbewusstsein. Die Geräte würden doch ohnehin nicht mehr gebraucht.

Marks gibt zu Bedenken, dass auf diesen Geräten sensible Daten liegen können, abgesehen von der Tatsache, dass es sich nach wie vor um Unternehmenseigentum handelt. Er rät, für den Umgang mit alten Geräten Prozesse zu definieren, wie es für neue Geräte ja auch getan wird. Er spricht von "Reverse Procurement".

Dass das ständig vorkommt, will allerdings nicht jeder gelten lassen. Man solle die IT-Mitarbeiter bitte nicht unter Generalverdacht stellen, sagten Branchenkenner gegenüber cio.com.

Behauptung 3: Data Storage in der Cloud ist riskanter als gedacht

Kim Dotcom machte Anfang 2012 Schlagzeilen, als sein MegaUpload hochgenommen wurde. Weniger bekannt ist, dass er völlig Unbeteiligte mit reingerissen hat. Die Ermittlungsbehörden nahmen die Daten tausender gesetzeskonformer Kunden unter die Lupe. Was genau mit diesen Daten geschehen ist, bleibt unklar.

Mike Balter, Principal bei CSI Corp, will das als Warnung verstanden wissen. Vielen Entscheidern sei nicht klar, welche Schwierigkeiten sie bei der Nutzung von Cloud Computing bekommen können. Schlittert ein anderes Unternehmen, das den gleichen Cloud Service nutzt, in die juristische Schieflage, kann das immer Auswirkungen auf die eigene Firma haben.

Eine Einschätzung, die Jonathan Ezor teilt. Er leitet das Touro Law Center Institute for Business, Law and Technology. Sobald Verdacht bestehe, dass in einem bestimmten Speichersystem verdächtige Daten enthalte, könnten sämtliche Daten untersucht werden, auch die von komplett Unbeteiligten. Kurzum: Unternehmen, die Storage in die Cloud verlagern, verlieren zumindest in dieser Hinsicht die Kontrolle über ihre Daten.

Ezor rät, die eigenen Daten wenigstens zu Verschlüsseln. Zudem sollten regelmäßig Backups vorgenommen werden.

Behauptung 4: Beim CIO-Budget wird gestrichen. Andere haben Blanko-Schecks

In puncto Beschaffung scheint ein Wildwuchs zu wuchern. Durch diesen führen laut Mike Meikle, CEO der IT-Beratungsfirma Hawkthorne Group, mindestens zwei Wege: der dornige offizielle Weg, den CIOs nehmen müssen, und die "Diamond lane".

Das heißt: CIOs müssen einen vorgegebenen, zeitaufwändigen Prozess befolgen. Mancher Hauptabteilungsleiter aus dem Fachbereich dagegen wird vom Anbieter irgendeines IT-Services zum Essen eingeladen, lässt sich von eben diesem einlullen und zückt das Scheckheft. "Das nächste, was Sie von diesem Hauptabteilungsleiter hören, ist, dass er eine halbe Million für eine Mobile Application Management-Lösung ausgegeben hat - obwohl Sie eine solche schon hatten", unkt Meikle. "Jetzt hat Ihr Unternehmen zwei davon."

Glaubt man dem Hawkthorne-Chef, laufen auf diese Weise eine ganze Menge informeller IT-Einkäufe. CIOs hätten zu diesem Club kaum Zugang. Meikles Forderung: Bei jeder IT-Anschaffung muss eindeutig klar sein, wer sie angeordnet und bestellt hat. Derjenige soll dann auch die Verantwortung übernehmen.

Behauptung 5: Beim IT-Support gibt es keine Lösungen

Am IT-Support zu sparen, kann teuer werden. Nicht selten rufen ratlose Nutzer eine Support-Hotline an und erreichen jemanden am anderen Ende der Welt, der nur halb so viel Ahnung hat wie sie selbst.

"IT-Support ist billige Massenware", behauptet Tim Singleton, Präsident von Strive Technology Consulting. Seine Meinung: Wer den Eindruck hat, die Nachbars-Tochter könne das besser als der Mann von der Hotline, könnte recht haben.

Das allerdings will Aramis Alvarez, Senior Vice President Services und Support von Bomgar, so nicht stehen lassen. Er gibt Singleton recht, sofern es um einfache Probleme geht, sobald es aber komplexer wird, etwa bei Virenbefall, liegen die Dinge anders.

Joe Silverman, CEO der New York Computer Help, bringt das Problem auf den Punkt. Aus seiner Sicht ist es der Sparzwang. Silverman verlangt Wertschätzung für das Wissen und die Erfahrung echter Spezialisten.

Behauptung 6: Man weiß viel mehr über Sie, als Ihnen lieb ist

Die NSA sei ja noch harmlos im Vergleich zu den Datensammlungen mancher Konsumgüterhersteller, findet cio.com. Kronzeuge dafür ist J.T. Mathis, vormals Datenbank-Manager in einem Casino. Er hat seine Erfahrungen unter dem Titel "I deal to plunder: a ride through the boom town" veröffentlicht.

Glaubt man Mathis, beobachtet und dokumentiert das Casino wirklich jeden Schritt des Kunden. Es weiß, an welchem einarmigen Banditen der Kunde wie häufig den Hebel gezogen hat, wie viel Geld er dort gelassen hat, was er sich um 16.30 zum Essen bestellt und welche Pornos er auf seinem Zimmer angesehen hat. Es kennt den Lieblingswein des Kunden, weiß, welche Zigaretten er raucht und ob die Dame, die ihn begleitet, die Ehefrau ist oder nicht.

Im Mai 2012 wurde Mathis entlassen. Er hatte aber noch eine ganze Menge Kopien der Kundendaten. Gegenüber cio.com sagte er, er habe versucht, diese zurückzugeben. Sinnlos - die Casinoleitung reagiert nicht auf seine Anrufe.