Autor: Robert Hellwig, ISMS-Experte, zertifizierter ISO 27001 Lead Auditor

Was soll schon passieren?!

IT-Sicherheit scheitert oft an alltäglicher Nachlässigkeit.

Die IT-Sicherheit ist bei 90 Prozent der Unternehmen nicht etwa durch veraltete respektive schlechte Hardware, Spionage oder gar DDoS-Angriffe gefährdet. Das größte Sicherheitsrisiko entsteht durch die eigenen Mitarbeiter. Sensible Daten beispielsweise durch offene Kanäle wie Handy-Apps, soziale Netzwerke oder E-Mails weiterzureichen ist gefährlich. Mitarbeiter sollten aber verstehen, dass gelebte Sicherheit bedeutet, Maßnahmen auch einzuhalten. Immerhin sind sie als kritischer Beitrag zum Unternehmenserfolg notwendig und wenn man will, dann können sie sehr leicht, schnell und kostensparend umgesetzt werden.

Die meisten Unternehmen organisieren sich hinsichtlich ihrer Sicherheit einfach falsch. De facto zeigen Auswertungen, wie es die SECUrisk getan hat, dass bei 90 Prozent so etwas wie eine Sicherheitsorganisation überhaupt nicht vorhanden ist. Dabei bedeutet Sicherheitsorganisation nicht zwingend State oft the Art Technology. Es genügt der Unternehmensstruktur angepasste Informationssicherheitsmanagementsysteme (ISMS) einzurichten. Diese ISMS gewährleisten die Sicherheit nicht nur technisch. Sie stellen sie auch infolge von wichtigen internationalen Normen, wie zum Beispiel der ISO 27001, weiterer Standards sicher. Nicht zuletzt werden die Angestellten und Führungskräfte im richtigen Umgang mit Sicherheit geschult.
 
Handy-Apps
 
Sicher ist es bequem, die nötige Information eben schnell per WhatsApp an den Kollegen zu schicken. Und es kostet auch nichts. Nun machen aber solche Apps nicht nur die gesendeten Informationen für jeden lesbar, der versteht sie abzufangen. Diese Apps greifen automatisch jede Menge Daten des Handys ab. Ist das Handy zusätzlich über VPN mit dem Firmennetzwerk verbunden, betrifft das deutlich mehr Informationen als „nur“ das Adressbuch. Als wäre es nicht schon ungünstig genug, dass die Informationen offen liegen, bleibt es dafür verborgen, wohin sie gesendet und gespeichert werden. Mitarbeiter sollten daher sensibilisiert werden, keine Informationen über das Unternehmen per WhatsApp und Co. vom privaten Handy zu versenden. Wenn sie ein Diensthandy haben, dann sollten einige Apps nicht darauf installiert werden dürfen. Zudem kann die VPN-Sicherheit angepasst werden, um Zugriffe zu minimieren. Lösungen für solche „gehärteten Handys“ gibt es bereits.
 
Soziale Netzwerke
 
Analog verhält es sich mit der Kommunikation auf sozialen Netzwerken. Tatsächlich sammeln sich dort sogar eigens spezialisierte Informationsdiebe, die Mitarbeiter bestimmter Firmen gezielt aushorchen. Bei sozialen Netzwerken kommt allerdings noch ein wichtiger psychologischer Aspekt hinzu: Sie sind das Sprachrohr jedermanns. Besonders, wenn Frau oder Herr Jedermann sich Luft machen möchte. Auch hier helfen Schulungen, um die User Awareness zu steigern. Besonders für Firmenprofile empfehlen sich Textbausteine und kommunikativ ausgebildete Mitarbeiter. Selbstverständlich hilft auch die Einsicht, dass ein privater verfasster, frustrierter Beitrag nicht nur dem Unternehmensimage schadet, sondern am Ende dem Angestellten selbst.
 
E-Mail
 
Von kleinen Textdateien bis zu riesigen Anhängen: Kaum ein Unternehmen, bei dem es relevant wäre, kontrolliert, welche Informationen über E-Mail versendet werden. Hat die E-Mail das Postfach verlassen und ist der „Gesendet“-Ordner geleert, kann selbst im Log nur nachgewiesen werden, dass eine E-Mail versendet wurde. Im besten Falle noch an wen, aber nicht mit welchem Inhalt. Egal ob es der Mitarbeiter nur gut meint und sich eine Datei für eine Weiterarbeit von zuhause an seinen Yahoo-Account schickt oder ähnlich zur Handy-App das E-Mailkonto für private Zwecke nutzt: Die Sicherheit wird ausgehebelt. Dabei können bereits kleine technische Mittel das verhindern. Und da es nicht um Arbeitskontrolle geht, sondern um die Sicherheit des Unternehmens, hilft ein kleiner Zusatz im Arbeitsvertrag, dass die Nutzung der dienstlichen E-Mail-Adresse für private Zwecke verboten ist.
 
 
Die SECUrisk GmbH ist eine der fünf Töchter der international agierenden DATA CENTER GROUP und Spezialist für Informationssicherheit, nicht nur in Rechenzentren. Im Auftrag seiner Kunden führt SECUrisk unter anderem Risikoanalysen und Beratungen durch.

Team
 
 

SecuRisk GmbH

In der Aue 2
57584 Wallmenroth
Germany

Phone: +49 2741 9321-0
Fax: +49 2741 9321-111

Data Center Group
Data Center Group
proRZ
proRZ
SECUrisk
RZservice
RZproducts
Direktkontakt