Nur die Hälfte der KMUs können ausschließen, dass ehemalige Mitarbeitende noch Zugriff auf das Datennetz ihres Ex-Arbeitgebers haben. Der Zugriff auf Cloud Daten wird nur von 40% ausgeschlossen und ist damit noch besorgniserregender, denn es stellt ein enormes Sicherheitsrisiko dar. Diese Zahlen gehen aus dem aktuellen Report von Kaspersky SMB Cyber Resilience hervor.
Meldungen wie diese alarmieren und lassen gleichzeitig mehrere Fragen aufkommen: Wie kommt es zu solch großen Werten? Wo liegen die Ursprünge dieses Problems? Ist es ein technisches oder organisatorisches Problem? Und welche sind die richtigen Gegenmaßnahmen?
Diese Fragen haben wir uns als KMU-Berater selbstverständlich auch gefragt und wir haben mehrere Strategien entwickelt, um diesem Umstand entgegenzutreten. Unser Hauptaugenmerk liegt auf der Durchgängigkeit und der Qualität des Personalmutationsprozess. In vielen Fällen fokussiert sich das KMU-Umfeld vermehrt auf das «On-Boarding» neuer Mitarbeiter, während das «Off-Boarding» fatalerweise vernachlässigt wird. Es lässt sich häufig folgendes Szenario beobachten: Wenn neue Mitarbeitende eintreten und nicht auf die Unternehmensdaten zugreifen können, wird dies unmittelbar bemerkt und direkt behoben. Das Nicht-Deaktivieren eines Zugriffs hingegen hat keinen Einfluss auf den Betrieb, dieser läuft trotzdem weiter. Aus Sicherheits- oder auch aus Lizenztechnischer-Sicht jedoch ist das Nicht-Deaktivieren eines Zugriffs sehr gefährlich.
Wie muss nun ein KMU diese Herausforderung angehen? In der Verantwortung befinden sich die Personalabteilung, jedoch auch die Informatik. Zum Austrittsprozess sollte eine Checkliste enthalten sein. Ganz oben auf dieser Liste sollte der Punkt «Deaktivieren des Zugriffs» stehen. Die Informatik kann zusätzlich beim Erfassen eines neuen Zugriffs abklären, ob dies ein zusätzlicher oder ein Ersatzzugriff ist. Aber auch dies muss im entsprechenden Prozess eingebaut und gelebt werden.
Das bedeutet, dass es vielmehr eine organisatorische Herausforderung (Stichwort «Governance») und keine technische ist. Trotzdem kann der Personalmutationsprozess mit einem Tool unterstützt und sichergestellt werden, dass die Aktivitäten durchgeführt und kontrolliert werden.
Unterstützung bieten verschiedene Softwarelösungen, die die Prozesse automatisch ansteuern. Ein Beispiel dafür ist ein DMS (Dokumenten Management System mit Workflowfunktionalität), welches mittlerweile auch für KMUs erschwinglich ist.
In jedem Fall ist es sinnvoll, sich als Unternehmen über den Umgang mit Ex-Mitarbeitern Gedanken zu machen und die eigenen Daten zu schützen. Wir helfen Ihnen gerne weiter und beantworten noch offene Fragen zu diesem und mehreren Themen.
Comments