IT-Mitarbeiter durchstöbern das Firmennetz gern nach vertraulichen Informationen wie Gehaltsdetails, Übernahmeplänen, E-Mails von Kollegen und anderen persönlichen Daten. Zu diesem Schluss kommt zumindest eine Umfrage, die der auf Passwort-Management spezialisierte Anbieter Cyber-Ark kürzlich auf der Londoner Sicherheitskonferenz "Infosecurity Europe 2008" unter 300 IT-Profis vorgenommen hat. Demnach hat sich ein Drittel der Befragten mittels Admin-Passwort bereits Zugriff auf sensible Daten verschafft. Nahezu die Hälfte (47 Prozent) soll zudem eingeräumt haben, schon einmal nach Informationen ohne jegliche Relevanz für ihre Arbeit gesucht zu haben.

"Im Prinzip hat die IT diese Schnüffelei erst ermöglicht", so Mark Fullbrook, UK-Director bei Cyber-Ark. "Alles, was man braucht, um über sämtliche Vorgänge im Unternehmen im Bild zu sein, ist der Zugriff auf entsprechende Passwörter oder privilegierte Accounts." Meist würden Amin-Passwörter als harmloses Werkzeug der IT-Abteilung betrachtet, die lediglich dazu dienten, Systeme zu aktualisieren oder zu optimieren. Tatsächlich stellten diese für "Eingeweihte" ein ungeheures Machtinstrument dar, das darüber hinaus hohe Anonymität ermögliche.

Als in diesem Kontext besonders riskant erachten die Umfrageinitiatoren die verbreitete Nachlässigkeit der Firmen in Sachen Passwortverwaltung und -pflege. Demnach werden Admin-Passwörter viel zu selten (30 Prozent nur einmal im Quartal) oder nie (neun Prozent) geändert, so dass Mitarbeiter auch dann noch unbegrenzt auf kritische Systeme zugreifen können, wenn sie die Organisation bereits verlassen haben.

Des Weiteren wurden die Teilnehmer gefragt, was sie im Fall ihrer Entlassung aus dem Unternehmen mitnehmen würden. Am häufigsten genannt wurden die Kundendatenbank (35 Prozent) - und eine Liste mit allen privilegierten Passwörtern (31 Prozent). (kf)