Brandmauer-it-security_Verlauf_heller_1920-x-600-px-Banner.jpg

BRANDMAUER IT Security Blog

So bleiben Sie in Sachen IT und IT Sicherheit stets auf dem neuesten Stand

Das sind die Risiken von Shared User Accounts

Eric Weis | 18.01.2018 15:34:26 | Lesezeit ca. 3,5 Minuten

„Shared User Account“ – so nennen wir im Folgenden das in Unternehmen häufig auftretende Phänomen, dass mehrere Mitarbeiter einen gemeinsamen Account bzw. ein gemeinsames Benutzerkonto verwenden. Vielen ist leider nicht bewusst, welche Gefahren diese gemeinsame Nutzung von Accounts birgt. Daher möchte ich Sie in diesem Artikel über die Risiken informieren und Ihnen verdeutlichen, dass es auch in Ihrem Unternehmen keine „Shared User Accounts“ geben sollte.

 

Was versteht man unter Shared User Accounts?

Wie bereits anfangs erwähnt sind sog. Shared User Accounts Benutzerkonten, die von mehreren Personen genutzt werden. Folglich kennen alle Beteiligten Kennung und Passwort eines solchen Accounts. Es kann sich dabei zum Beispiel um einen Online Account oder ein Benutzerkonto für eine firmeninterne Softwarelösung handeln. Solche gemeinsamen Konten entstehen in der Regel aus reiner Bequemlichkeit. Denn das Anlegen eines neuen Accounts erfordert nunmal etwas Zeit sowie personelle Ressourcen. Stattdessen wird häufig einfach eine bestehende Kennung und das zugehörige Passwort an die entsprechenden Mitarbeiter weitergegeben und das Thema ist erledigt. Doch Vorsicht – Es gibt einige Gefahren, die mit einem solchen Vorgehen verbunden sind!

 

Das könnte Sie auch interessieren: In unserem Passwort-Guide erfahren Sie, wie Sie sichere Passwörter sowie ein Passwortkonzept für Ihr Unternehmen erstellen können. Hier geht's zum kostenfreien Download!

Passwort-Guide

 

Welche Risiken bergen gemeinsame Benutzerkonten?

Zuerst einmal gilt, dass mit wachsender Größe der Gruppe, die einen gemeinsamen Account benutzt, auch das Management bzw. die Verwaltung schwieriger wird. Man verliert leicht den Überblick, ignoriert oder vergisst wichtige Dinge und schon entstehen die ersten Risiken!

Stellen Sie sich einmal vor, dass einer Ihrer Angestellten das Unternehmen verlässt. Lassen Sie ihn den Schlüssel zum Firmengebäude mitnehmen? Selbstverständlich nicht! Doch was passiert mit den Passwörtern, also sozusagen den digitalen Schlüsseln für Ihr Unternehmen?

Nehmen wir an, der Mitarbeiter war Teil einer zehnköpfigen Gruppe, die einen Shared User Account verwendet hat. In der Regel dürfte der Mitarbeiter das Passwort auswendig kennen und nimmt dieses folglich mit, wenn er geht. Das Problem: Wie können Sie nun, das Passwort ändern, ohne den Betrieb zu stören? Da mehrere Personen auf den Account Zugriff haben, können Sie diesen nicht einfach so löschen oder sperren!

Es muss aber nicht mal ein Mitarbeiter das Unternehmen verlassen. Nehmen wir zum Beispiel einen Account für die Webseite eines Online-Shops, auf den 25 Personen mit einem einzigen Account zugreifen. Was passiert, wenn ein Mitarbeiter sich einloggt, die Lieferadresse ändert und dann etwas bestellt. Wie wollen Sie nun herausfinden, wer von den 25 Personen hier schuldig ist?

Und vor Gericht wird die ganze Situation unter Umständen noch unangenehmer. Welches Urteil wird ein Richter wohl fällen, wenn er hört, dass 25 Personen das Passwort kannten? Unter Umständen kommt dann sogar eine Klage der Gesellschafter wegen Organisationsverschulden auf Sie zu.


Wer haftet eigentlich für die IT Sicherheit im Unternehmen? Lesen Sie es hier nach.


Jetzt Blog abonnieren!

 

Lösung: Implementieren Sie ein vernünftiges Identitätsmanagement!

Das Grundproblem ist immer wieder, dass man nicht weiß, wer welche Identitäten im Unternehmen hat bzw. annimmt. Das zuvor erwähnte Beispiel zeigt, wie verlockend eine gewisse Anonymität innerhalb des Shared Accounts ist. Hätte der Mitarbeiter zweifelsfrei identifiziert werden können und folglich mit seinem Namen haften müssen, wäre es vermutlich gar nicht so weit gekommen.

Eine Lösung ist, einen Passwort Manager wie z.B. den „Password Safe“ zu implementieren. Damit können Sie Identitäten und Passwörter im Unternehmen einfach und sicher managen. Anstatt mehreren Mitarbeitern einen Account zu geben, legen Sie einfach innerhalb kurzer Zeit neue Accounts an, z.B. wenn ein neuer Angestellter das Unternehmen betritt. Und auch wenn dieser das Unternehmen verlässt, können Sie mit wenigen Klicks Passwörter bzw. Accounts sperren, ändern oder löschen. Zudem können Sie zweifelsfrei nachvollziehen, wer welche Aktivitäten im Zusammenhang mit den Passwörtern oder Benutzerkonten durchgeführt hat. Damit gestalten Sie das Identitäts- und Passwortmanagement in Ihrem Unternehmen sicher und nachvollziehbar.


Passwort Manager im Test: Wie Sie sichere Passwörter generieren lesen Sie hier!

 

Fazit

Die Anzahl der digitalen Identitäten pro einzelner Person wird vermutlich weiter zunehmen. Ohne technische Unterstützung, z.B. in Form des Password Safe von Mateso, wird es nahezu unmöglich den Überblick zu behalten und alles sicher zu verwalten. Lassen Sie mich eines klarstellen: Es gibt absolut keinen Grund, Shared User Accounts zu verwenden. Der Zeit- und Kostenaufwand ist in der Regel so klein, dass er im Vergleich zu den Kosten, die durch potenzielle Schäden entstehen, zu vernachlässigen ist.


Sie interessieren sich für technische Unterstützung in Sachen Passwortmanagement? Dann kontaktieren Sie uns! Wie von BRANDMAUER IT beraten Sie gerne.

Kontaktieren Sie uns

Themen: Passwortsicherheit

Autor: Eric Weis

Eric Weis startete 2005 seine Karriere im IT-Business. Ein klassischer Start als IT-Systemadministrator legte dabei den fachlichen Grundstein, um später in nationalen und internationalen IT-Sicherheitsprojekten als Projektleiter zu agieren. Seit 2015 ist der IT-Experte außerdem Chief Information Security Officer und Auditor der ISO/IEC 27001. Weitere Zertifizierungen nach ITQ13 und VDS zeugen von seiner Leidenschaft für die IT Sicherheit. Seine tiefgehenden IT-Kenntnisse, gepaart mit seinen kommunikativen Fähigkeiten, machen Ihn zum Bindeglied zwischen der IT Organisation und dem Management. Eric Weis kann komplexe IT-Themen verständlich in alle Zielgruppen transportieren!

Telefon: (+49) 7272 92975 200
E-Mail: e.weis@brandmauer.de