Compliance und IT Ethische Aspekte bei Zugriffsberechtigungen

Autor / Redakteur: Bill Evans / Jürgen Schreier

Was haben Cybersicherheit, Compliance und die gute alte Neugier gemeinsam? Eine ganze Menge! IT-Profis sehen sich heutzutage mit einer großen Zahl ethischer Entscheidungen - vor allem im Hinblick auf die Zugriffsberechtigungen - konfrontiert.

Anbieter zum Thema

Viele IT-Administratoren haben Zugriff auf vertrauliche Mitarbeiterdaten wie Vergütungsdetails und Gehälter. Sollte die IT-Abteilung diese Daten in Augenschein nehmen? Eher nicht. In der Praxis wird das aber doch getan.
Viele IT-Administratoren haben Zugriff auf vertrauliche Mitarbeiterdaten wie Vergütungsdetails und Gehälter. Sollte die IT-Abteilung diese Daten in Augenschein nehmen? Eher nicht. In der Praxis wird das aber doch getan.
(Bild: Pixabay / CC0 )

Cybersicherheit, Compliance und Neugier gemeinsam: All das sind treibende Kräfte, wenn es um das Thema Ethik in der IT geht. IT-Profis sehen sich heutzutage mit einer großen Zahl ethischer Entscheidungen konfrontiert. Das liegt an der vergleichsweise einzigartigen Position, in der sich IT-Spezialisten befinde - nämlich am Schnittpunkt zwischen professionellen Anwendern, den Applikationen, die sie benutzen und den Daten, die sie verwenden. Das gibt IT-Experten reichlich Gelegenheit, dem Unternehmen dienlich zu sein oder ihm umgekehrt zu schaden. Wenn geschäftliche Anwendungen in der Finanzabteilung oder im Personalwesen abstürzen, ist es an der IT-Abteilung Systeme und Anwendungen wiederherzustellen. Das gehört zum Arbeitsalltag. Dieser Einflussbereich hat aber seine Schattenseiten. Und die ursprünglich zu anderen Zwecken erteilten Befugnisse können für weit weniger hehre Ziele genutzt werden.

Nehmen wir das Personalwesen. IT-Experten haben hier nicht selten erweiterte administrative Rechte, denn schließlich soll die IT im Bedarfsfall genau diese Systeme wieder ans Laufen bringen. Dieselben Rechte erlauben es ihnen aber, beispielsweise Vergütungsdetails und Gehälter von praktisch jedem Mitarbeitenden innerhalb der Firma einzusehen. Sollte die IT-Abteilung das tun? Wahrscheinlich eher nicht. Wird sie es tun? Davon kann man getrost ausgehen. In einer von One Identity im letzten Jahr durchgeführten Studie gaben zwei von drei befragten Administratoren an, ihre erweiterten Rechte zu nutzen, um in den Daten des Unternehmens „herumzuschnüffeln“. Daten, die sie keineswegs brauchen, um ihren Job zu machen. Aber trifft das wirklich so zu?

ITler geraten schnell in ein ethisches Dilemma

Eine Möglichkeit IT zu betrachten ist, sie mit einer Situation in der physischen Welt zu vergleichen. Wie würde man dann die Aktivitäten betrachten und bewerten? In der physischen Welt gehören Büro, Schreibtisch und Schränke dem betreffenden Mitarbeiter. Und jeder, vom Manager bis zu den freundlichen Mitarbeitern diverser Serviceunternehmen, kann das Büro betreten und beispielsweise auf dem Schreibtisch eines Mitarbeiters herumstöbern. So ein Verhalten würde sicherlich von den meisten Angestellten und Führungskräften verurteilt werden. Trotzdem kann es vorkommen. Aus irgendeinem Grund nehmen wir einen Computer genauso als persönlichen Besitz wahr wie die darin befindlichen Daten. Auch wenn es sich um einen rein geschäftlich genutzten Rechner handelt, betrachten wir ihn wie unseren persönlichen Besitz. Wenn also jemand aus der IT unsere Dateien durchsucht, fühlen wir uns in unseren Rechten verletzt.

Wenn wir ein Mal die Tatsache beiseite lassen, dass IT-Profis tatsächlich in Daten herumzuschnüffeln, die sie nichts angehen, gibt es noch einen anderen Bereich. In jedem durchschnittlichen Unternehmen gehört die Geschäftsausstattung, darunter der „eigene“ Rechner, dem Arbeitgeber. Und der kann verlangen, dass dieser Rechner ausschließlich zu geschäftlichen Zwecken genutzt wird. Stellen wir uns folgendes Szenario vor. Ein IT-Experte stößt beim „Herumschnüffeln“ auf nicht richtlinienkonforme Aktivitäten, die das Unternehmen in Gefahr bringen könnten.

Ein Mitarbeiter importiert Kundendaten für eine Marketingkampagne in eine Exceltabelle, was gegen die Vorschriften der DSGVO verstößt. Ist die IT verpflichtet, diesen Vorgang zu melden? Was, wenn sie Anzeichen für eine weitreichende Datenschutzverletzung oder Veruntreuung finden? Ist die IT dann verpflichtet das Management, die Personalabteilung und die betreffenden Behörden zu informieren? Wenn dem so ist, würde gleichzeitig offenbar, dass der betreffende IT-Mitarbeiter mit Daten zugange war, die ihn schlicht nichts angehen. Ein schwieriges ethisches Dilemma.

Das Diensthandy als Fitness-Tracker: Wem gehören die Daten?

In den USA hat der Gesetzgeber das Problem bis zu einem gewissen Grad gelöst. Im Bildungswesen sind Lehrende gesetzlich verpflichtet, Anzeichen eines vermuteten Missbrauchs oder einer Gefährdung des Kindswohls zu melden. Das bringt Lehrende aber auch in die Bredouille. Sie sind vielleicht gezwungen vor Gericht auszusagen oder befürchten als „Whistleblower“ diffamiert zu werden. In den USA gibt es sogenannte “Good Samaritan” -Gesetze. Sie bieten Menschen gesetzlichen Schutz, die diejenigen unterstützen, die sich in Gefahr befinden oder von denen sie angenommen haben, dass sie sich in Gefahr befinden. Sind diese Gesetze perfekt? Sicher nicht, aber sie sind ein Schritt in die richtige Richtung. Und der Versuch, einen kritischen Bereich so weit zu standardisieren, dass alle Beteiligten die damit verbundenen Erwartungen verstehen.

Jetzt Newsletter abonnieren

Verpassen Sie nicht unsere besten Inhalte

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Mit dem Aufkommen neuartiger Technologien wie beispielsweise dem Internet der Dinge (IoT) ist die IT-Landschaft um ein Vielfaches komplexer geworden. Heute verwenden viele Angestellte Fitness-Tracker selbst bei der Arbeit, etwa um Stufen zu zählen oder die zu sich genommene Kalorienzahl. Im Allgemeinen kommunizieren Fitness-Tracker mit dem Smartphone des Trägers. Und das wiederum mit dem firmeneigenen Netzwerk und dem Internetzugang, wenn die betreffenden Daten hochgeladen, gespeichert und analysiert werden. Wem gehören diese Daten? Hat die IT-Abteilung das Recht auf diese Daten zuzugreifen? Sie kann es natürlich. Und wie die Umfrageergebnisse gezeigt haben, tut sie es auch.

(ID:45273840)