Warum Self-Service selbst ein Risiko sein kann

Ein Self-Service-Portal im Support-Bereich ist ein Dienst, der es den Nutzenden erleichtern soll, ihre Wünsche an den IT-Support selbst zu erfüllen. Im Idealfall nennen sie ihren Unterstützungsbedarf im Self-Service-Portal. Das Portal führt dann die Aufgabe automatisch durch, ohne weitere menschliche Interaktion.

So ist es oftmals möglich, eine beantragte Software direkt ohne weitere Maßnahmen der IT-Administration zu installieren. Neben der gewünschten Freigabe einer bestimmten Applikation sind es Berechtigungen, die sich über ein Self-Service-Portal abwickeln lassen. Der Klassiker ist das Zurücksetzen von Passwörtern, die Mitarbeitende nach wie vor gern vergessen.

Ein Self-Service-Portal ist in vielen Fällen hilfreich, jedoch mit neuen Risiken verbunden. Diese sollten Datenschutzbeauftragte (DSB) im Blick haben, wenn der Verantwortliche ein Self-Service-Portal einführen will.

Self-Service als Angriffsziel

Insbesondere der Self-Service für das Zurücksetzen von Passwörtern ist ein beliebtes Ziel für Cyberkriminelle. Das erstaunt nicht. Denn ist der Self-Service nicht korrekt aufgesetzt, lässt sich darüber das Passwort verändern und anschließend missbrauchen.

Entscheidend ist es deshalb, die Identität der Person zu prüfen, die ein Passwort zurücksetzen lassen will. Das gilt bei einem Self-Service-Portal ebenso wie bei dem Anruf eines angeblichen Mitarbeiters beim IT-Support oder bei der E-Mail mit der Bitte um Unterstützung beim Zurücksetzen eines vergessenen Passworts.

Um sicherzustellen, dass keine unbefugte Person sagt, sie …