Sebastian Rohr berichtet über eine syrische Bloggerin, die sich als männlicher Amerikaner entpuppt, und erklärt, was das mit digitalen Identitäten im Berufsalltag zu tun hat. Denn in vielen Unternehmen gibt es virtuelle Mitarbeiter oder Benutzerkonten, die sich gleich mehrere Mitarbeiter teilen.
Als mein Freund und Mentor Dave Kearns kürzlich über die besonderen »persönlichen« Probleme einer in der Blogosphäre bekannten syrischen Bloggerin in Damaskus schrieb (sie hatte sich als lesbisch geoutet), war ich zunächst verwirrt – was hatte das bloß mit Identitäten zu tun?Sehr viel, wie sich bei näherer Recherche heraus stellen sollte! Die Dame war nämlich keine reale Person, sondern ein ausgedachtes »alter ego«, eine Art Pseudonym. Der Autor des Blogs ist vielmehr ein 40-jähriger Amerikaner, der als Doktorand seine Schreibfertigkeiten ausweiten wollte und zu diesem Zwecke eine virtuelle US-Syrierin erfand, um aus ihrer Sicht den politischen Umbruch in Syrien zu dokumentieren.
Nun ist es durchaus üblich, sich Pseudonymen zu bedienen – sowohl in der Literatur als auch in der IT. Nahezu täglich verwendet jeder von uns mehr oder wenige anonyme Benutzerkonten in Onlinediensten, in sozialen Netzwerken oder sogar im Fernsehen. Glauben Sie nicht? Dann glauben Sie also auch, dass der nette Herr aus dem Kundensupport von diesem Internet-Provider eine reale Person ist? Oder diese knackige Blondine mit dem Wunderland-Namen des direkten Mitbewerbers tatsächlich existiert und Herr Kaiser auch zu Ihnen nach Hause kommt? Sicher nicht!
Deutlich subtiler sind da Profile virtueller Mitarbeiter in sozialen Netzen wie XING. Ich durfte über Umwege erfahren, dass diese charmant lächelnde Dame aus dem Sales eines großen Schulungs-Anbieters gar nicht existiert. Ich habe zwar dauernd E-Mails von ihr erhalten, aber am Telefon waren immer nur männliche Gesprächspartner. Im Sinne eines »one (attractive) face to the customer« sicher eine gute Idee! Viel mehr Schadenspotenzial haben allerdings andere virtuelle Geschöpfe: administrative Gruppenkonten.
Es ist sicher jedem im Laufe seines Berufsweges untergekommen, dass in einer Abteilung, in einem Team oder einer ganzen Firma der Zugang zu bestimmten Ressourcen exakt über ein allgemein bekanntes, geteiltes Benutzerkonto lief. Das Passwort war allgemein bekannt und jeder nutzte den Zugang wann und wie er wollte. Zurechenbarkeit? Fehlanzeige! Je nach Kritikalität einer Anwendung oder Sensibilität der darin gespeicherten oder verarbeiteten Daten ist die Wahrung der Vertraulichkeit und Integrität jedoch eng verbunden mit dem Wunsch, nachvollziehen zu können, wer denn da wann was geändert, bestellt, gelöscht oder rückgängig gemacht hat.
Die Nutzung von geteilten Konten wird sich nicht komplett ausschließen lassen, es sollten jedoch kompensierende Maßnahmen bedacht werden, die eine Nutzung zumindest organisatorisch überwachen helfen und absichern. Bei privilegierten Konten ist die Nutzung eines Werkzeugs für das Zugriffs-Management eigentlich unausweichlich, und das sollte auch für technische Konten gelten.
Ein besonderer Aspekt des »Meine, Deine, Ihre« Identität findet sich, wenn wir über die Grenzen der Unternehmen hinaus blicken. Oft haben etliche Zulieferer und Logistikpartner Zugriff auf interne Ressourcen – und benötigen hierfür interne Konten in den Systemen des Unternehmens. Genauso haben Einkäufer und Partner-Manager, Vertrieb und Marketing Benutzerkonten in Systemen der Zulieferer, Kunden und Partner, so dass eine Vielzahl an externen Konten verwaltet werden muss. Beide Arten von Identitäten stellen die IT und den Chief Information Security Officer üblicherweise vor große Herausforderungen – zumal in diesen zentralen Stellen nicht immer Kenntnis über das Vorhandensein dieser Konten existiert.
Grundlegend muss eine Identity Management Richtlinie – als Unter-Richtlinie einer IT – oder Security Policy – auch diese Spielarten von Identitäten und Konten adressieren und Rahmenbedingungen für deren Nutzung und Administration setzen. Dazu zählen zum Beispiel auch Anweisungen, der IT und dem User-Management die Existenz und Nutzung solcher Konten anzuzeigen und vor allem eine reale Bezugsperson als »Vertrauensanker« für diese Konten zu benennen. Nur so kann verhindert werden, dass im Zuge von Umstrukturierungen, Wechseln des Zulieferers oder ausscheidenden Mitarbeitern eine Sicherheitslücke entsteht. Wie im Einzelfall mit solchen Identitäten umgegangen wird, kann jedoch nicht Teil einer allgemeinen Richtlinie sein – hier sind insbesondere die Fachabteilungen und Anwender gefragt, für die solche Konten eingerichtet werden.
Im Endeffekt kann also auch die virtuelle Identität eines Mitarbeiters – etwa in einem offenen Technologie-Forum – ein Problem darstellen. Solange der Mitarbeiter eine nicht zuordenbare Identität nutzt, sich also als syrische Bloggering ausgibt, kann er sich mit geringem Risiko über interne technische Details und Probleme seiner spezifischen Arbeitsumgebung austauschen. Kritisch wird es erst, wenn seine wahre Identität offenbart wird und potenzielle Angreifer somit intime Kenntnisse der Infrastruktur ableiten können. In beiden Fällen möchte ich nicht in der Haut des Betroffenen stecken – die dem wahren Autor des Blogs entgegen gebrachten Anfeindungen sind jedenfalls mehr als unangenehm.