Auf den Punkt: Fehlende technische Schutzmaßnahmen wie Multifaktor-Authentifizierung führen zu erheblichen Sicherheitsrisiken und Datenpannen, wenn Geschäftsführer diese aus Kontrollorientierung bewusst blockieren.
Ein Geschäftsführer eines nationalen Dienstleistungsunternehmens mit rund 2.000 Mitarbeitern hielt alle Benutzernamen und Passwörter im Klartext in einer Excel-Tabelle auf seinem Desktop. Der Grund: Er wollte E-Mail-Konten von Mitarbeitern überwachen und blockierte deshalb auch die Multifaktor-Authentifizierung.
Luke Irwin, Geschäftsführer von Aegis Cybersecurity, berichtete dem Register von einem Beratungsfall bei einem Unternehmen aus den Bereichen Reinigung, Sicherheitsdienste und Industrieklettern. Der Geschäftsführer führte eine Excel-Tabelle direkt auf seinem Desktop, in der die Benutzernamen und Passwörter aller Angestellten im Klartext hinterlegt waren.
Hintergrund war ein Sicherheitsincident, bei dem vertrauliche Informationen versehentlich per E-Mail an die gesamte Belegschaft versendet wurden. Der Geschäftsführer verbrachte daraufhin eine Nacht damit, sich in jedes einzelne Konto einzuloggen und die Nachricht manuell zu löschen. Um diese Kontrolle künftig auszuüben, lehnte er die Einführung einer Multifaktor-Authentifizierung ab, da diese seinen direkten Zugriff blockiert hätte – obwohl das Unternehmen bereits durch einen Ransomware-Angriff kompromittiert worden war.
Die Berater konnten den Geschäftsführer erst nach etwa vier Monaten zur Löschung der Passwortliste bewegen, indem sie ihm administrative Alternativen aufzeigten: Das IT-Team konnte E-Mails zentral mit einfachen administrativen Befehlen entfernen, ohne dass Passwörter erforderlich waren. Parallel weigerte sich der Geschäftsführer jedoch, die Multifaktor-Authentifizierung freizuschalten. In der Folgezeit kam es zu zwei weiteren Datenpannen, bei denen sensible Kundendaten entwendet wurden.
Nach Angaben von Irwin ist die Ablehnung grundlegender Schutzmaßnahmen kein Einzelfall. Er betreute auch ein Unternehmen aus dem medizinischen Sektor, das MFA mit der Begründung ablehnte, dass die zusätzlichen Bestätigungsschritte den Zugriff für externe Berater zu kompliziert gestalten würden. Nach Ende der Beratung wurden Daten dieses Unternehmens auf Darknet-Marktplätzen gefunden.
Quelle: www.it-daily.net · Erschienen 14. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.