Schön langsam hat Frau Weber eine Vermutung, warum Ihr Vorgänger nach gut drei Jahren das Handtuch als IT-Bereichsleiter geschmissen hat. Allein das Identitätsmanagement ist übermäßig langwierig, kompliziert und nicht im Geringsten nachvollziehbar. Die Frage, ob Herr Schneider, der Vorgänger von Frau Schmitt, der in einen anderen Bereich gewechselt hat, noch Zugang zu den Controlling-Systemen hat, lässt sich schlicht und ergreifend nicht beantworten. Ebenso kommt es immer wieder vor, dass neue Mitarbeiter Däumchen drehen, da sie noch nicht Zugang zu allen für Ihren Job relevanten Systemen, Daten und IT-Ressourcen haben. Das liegt alles nur daran, dass niemand so recht weiß, für welche Aufgaben welche Berechtigungen und Zugriffsrechte erforderlich sind. Natürlich ist nichts dokumentiert und historische Daten gibt es nur teilweise. Ihr Mitarbeiter huschen nur mehr wie Mäuse über den Gang, damit sie nicht ständig mit Fragen und Bitten aufgehalten werden. Der Versuch, Ordnung in das Chaos zu bringen, war bisher nur partiell erfolgreich – womit Monika Weber auch schon wieder beim Thema Dokumentation und Historie wäre. Außerdem werden auch die Prozesse für Freigaben nicht eingehalten, entweder wird jemand vergessen oder Ihre Mitarbeiter bekommen E-Mails mit dem Inhalt „Wie beim Rauchen, Kaffee trinken, oder was auch immer besprochen …“. Nichts gegen den kurzen Dienstweg, aber so kann es nicht weitergehen, denn so übersteht sie das nächste IT-Audit nur mit viel Glück.
Ausgehend von dem erneuten Gedanken „Wenn man lange genug in einem Unternehmen ist, hat man alle Berechtigungen und Zugänge“, hat Frau Weber jetzt die Idee. Sie schaut, ob Susanne Schmitt heute im Büro ist, und geht gleich rüber. Denn sie hat ein aktuelles und sehr reales Problem. Ihr Vorgänger Herr Schneider kürzt den Dienstweg noch mehr ab und übergeht sie regelmäßig. Wie ist ganz einfach erklärt – auch wenn er laut Aufzeichnungen keinen Zugang mehr zu den Controlling-Systemen hat, dürfte er sie tatsächlich doch noch haben. Denn er schaut regelmäßig selbst nach, ob Budget für seine geplanten Aktionen vorhanden ist, und informiert Susanne nur, dass er diese Maßnahme macht, da sie ausreichend Budget hat. Am liebsten macht er das so knapp, dass man die Aktivitäten nicht mehr aufhalten kann. Eigentlich sollte er sich regelmäßig mit Susanne abstimmen, die ihm dann das Budget zuteilt, da das verkaufte Aktionsprodukt und damit auch das Budget in Ihrem Aufgabenbereich ist. So kann man weder planen noch arbeiten und verständlicherweise ist Susanne kurz davor, die Beherrschung zu verlieren. Sich an die Vorgesetzten von beiden zu wenden, bringt absolut nichts, da Frau Weber und Frau Schmitt immer die Antwort bekommt „… Aber laut Doku geht das doch gar nicht, er hat keinen Zugriff mehr …“. Auf die Antwort der Finanzabteilung betreffend den Zugang von Herrn Schneider zu den Controlling-Systemen warten sie auch schon seit geraumer Zeit.
Jetzt schmieden die beiden einen Plan und greifen dabei ganz tief in die Büchse der Pandora. Denn noch ist kein großes Unheil passiert, es könnte aber jederzeit so weit sein. Die Frage, die sie jetzt an die Vorgesetzten stellen, lautet: Wer ist verantwortlich, wenn Herr Schneider das Budget überzieht, da er sich nicht mit Susanne abstimmt. Das kann viele Gründe haben und ebenso leicht passieren, die Budgetkürzung zum Halbjahr scheint noch nicht auf, die Aktion mit einer anderen Abteilung ist erst kürzlich vereinbart und deshalb noch nicht eingetragen oder etwas Ähnliches. Wird der Vorgesetzte von Herrn Schmitt den Kopf hinhalten, oder gar er selbst oder wird es doch Monika und Susanne treffen. Sobald Geld, das es nicht gegeben hat, ausgegeben wurde, ist guter Rat teuer und der Geschäftsführer wird das bei der angespannten Marktsituation sicher nicht gut auffassen. Dabei ist das noch das geringste Problem. Was passiert erst, wenn ein Mitarbeiter, der schon einige Positionen im Unternehmen hatte, sich nicht gerade im Guten trennt. Er könnte Kundendaten oder andere Informationen leaken, oder auch Daten löschen und manipulieren. Da ist der Fantasie keine Grenzen gesetzt, solange er nur Zugang hat, ist die Möglichkeit sehr real. Der Auslöser kann sein, dass jemand anderer die Beförderung bekommen hat, oder ein anderes aus Sicht des Mitarbeiters kränkendes Ereignis.
Der Plan der beiden ist an sich recht einfach, Susanne fragt, wer bei einem überzogenen Budget die Verantwortung übernimmt, und Monika zeigt die anderen, sehr realen Schadensrisiken auf. So bekommen hoffentlich beide, was sie brauchen, alleinige Bestimmung über das Budget und ein Identitätsmanagement (IDM), das zentral Benutzer und Berechtigungen automatisch provisioniert und auch kontrolliert. So erreicht die IT auch das für das Audit angestrebt Gleichgewicht zwischen reibungslosem Zugang und effektivem Schutz von IT-Ressourcen, Systemen und Daten.
Der Termin ist ausgeschickt, alle drei Vorgesetzten haben zugesagt und Frau Schmitt und Frau Weber bereiten Ihre Argumentation akribisch vor. Das Szenario soll genauso furchterregend rüberkommen, wie es auch tatsächlich ist. Denn die Schädigung des Unternehmens ist ein reales und ernst zu nehmendes Risiko.
