Manchmal erlebt man Dinge, die man sich selbst in schlechten Träumen nicht ausdenken kann.
Ich fuhr heute Morgen kurz vor neun Uhr in der U-Bahn und neben mir saß ein jüngerer Mann. Wie ich gleich lernen sollte wohl ein IT-Administrator. Sein Telefon klingelte und er sagte, dass er erst nach acht „da sein werde“. Offensichtlich gab es an der Arbeitsstelle eine IT-Problem, denn er sagte dann, der Nutzername sei „admin.ws“ („ws wie workstation“). Und das Passwort sei „r…t for i…t“ mit „R“ und „I“ groß, der Rest klein und einer Vier in der Mitte, also „R…t4I…t“. Uups, jetzt kenne ich und ein paar mehr Leute ein (oder vielleicht sogar das?) Administrator-Passwort eines Unternehmens oder einer Behörde.
Der Administrator war wohl der Meinung, dass niemand weiß, um welches Unternehmen oder welche Behörde es sich handelt. Er trug zum Glück auch keinen sichtbaren Dienstausweis mit Logo. Aber da er an der Haltestelle „K…n“ dann ausstieg, hätte ich ihm problemlos folgen können. Und dann hätte ich gewusst, wo er arbeitet.
Mir hat es die Sprache verschlagen, ob solcher Sorglosigkeit. Dieses schlechte Beispiel zeigt, das IT-Sicherheit nicht nur der Einsatz von Technik ist, sondern auch ganz wesentlich aus organisatorischen Regeln besteht und auch bestehen muss. Die Verantwortlichen bei diesem Arbeitgeber haben wohl die ein oder andere Awareness-Schulung für Administratoren vergessen.
Ich habe den Vorfall übrigens etwas verfremdet, denn ich will die IT-Sicherheit des Unternehmens bzw. der Behörde ja nicht gefährden, indem ich es bzw. sie identifizierbar mache. Aber wer für seine Awareness-Schulung ein schönes schlechtes Beispiel sucht …
Tipp: Man kann ein Administrator-Passwort für Notfälle in einem versiegelten Umschlag in einem Tresor hinterlegen. Und nachdem der Umschlag geöffnet werden musste, wird das Passwort geändert und neu hinterlegt.