Thought Leadership
Sergej Schlotthauer, CEO EgoSecure kommentiert die größten IT-Security-Stolpersteine für das Jahr 2015. Die NSA-Affäre hat Unternehmen sensibilisiert: Jeder und alles kann grundsätzlich ausspioniert werden.
Doch statt in Panik zu verfallen, lohnt eine sachliche Analyse der Schwachstellen. EgoSecure zeigt, worauf im kommenden Jahr besonders geachtet werden sollte und nennt Tipps, wie sich Datenlecks schließen und das Abfangen von Informationen vermeiden lassen.
Falle 1: Datenzugriff für alle: Firmen sollten genau definieren, welche Daten von wem auf mobilen Geräten eingesehen und gespeichert werden dürfen. Die betreffenden Mitarbeiter tragen mehr Verantwortung. Sie müssen Sorge tragen, dass Informationen, die das Unternehmen verlassen, nicht von Unbefugten gelesen werden können.
Falle 2: Jeder Mitarbeiter macht mobil: Das neueste iPhone, ein schicker Laptop oder ein besonders handliches Tablet gelten als Statussymbole. Unternehmen sollten jedoch abwägen, wer wirklich mobil arbeiten muss und nur jene Devices anschaffen, die sich besonders gut absichern lassen.
Falle 3: Das „Look and Feel“ ist wichtiger als Sicherheit: Bei der Entscheidung für ein bestimmtes Betriebssystem sollten Administrierbarkeit und Sicherheit im Vordergrund stehen. Zwar gilt iOS als relativ sicher, weil starke Einschränkungen möglich sind, doch existieren für dieses mobile Betriebssystem nur wenige Security- und Verschlüsselungs-Tools. Android ist offener und damit potenziell unsicherer, bietet jedoch eine größere Bandbreite an Sicherheitswerkzeugen.
Falle 4: Der Spielespaß ist mit dabei: Spiele oder unlizenzierte Softwareprodukte haben auf beruflich genutzten Geräten nichts verloren. Mit Application-Control-Lösungen behalten IT-Verantwortliche den Überblick. So lässt sich festlegen, welcher Nutzer welche Programme starten darf.
Falle 5: Updates bequem automatisch abwickeln: Automatische Updates sind teilweise mit Problemen verbunden, die sich im Vorfeld kaum abschätzen lassen. So gehen gegebenenfalls sinnvolle (Sicherheits-)Funktionen verloren oder überflüssige kommen hinzu. Besser ist es, Updates manuell vorzunehmen und zu hinterfragen, was wirklich aktualisiert werden sollte.
Falle 6: Mit dem eigenen Gerät durch den Arbeitsalltag: Aus IT-Sicht stellt der Trend mit Bring your own Device (BYOD) ein hohes Sicherheitsrisiko dar. BYOD macht es nahezu unmöglich, einen Überblick über die Vielzahl an Geräten und ihren jeweiligen Sicherheitsstandard zu erhalten. Hinzu kommt die schwierige Trennung zwischen beruflicher und privater Nutzung der Geräte: IT-Verantwortliche können mobile Endgeräte kaum in dem Umfang absichern, wie dies bei firmeneigenen Geräten der Fall ist.
Falle 7: Verschlüsselung ist nebensächlich: Zur Basis aller Sicherheitsvorkehrungen gehört die Verschlüsselung von Daten – insbesondere auf mobilen Geräten. Im Idealfall wird jedem Benutzer eine Verschlüsselungsmethode einmalig und zentral zugewiesen. Damit kann er sämtliche Daten öffnen, die für seine Berechtigungsstufe freigegeben sind. So lässt sich auch vermeiden, dass Verschlüsselungsmechanismen aus Bequemlichkeit umgangen werden.
Falle 8: Die Cloud für alle Fälle: Auf die Frage, ob der Einsatz einer Cloud in Organisationen sinnvoll ist oder nicht, gibt es keine eindeutige Antwort. Vielmehr muss sie differenziert betrachtet und nach dem jeweiligen Einzelfall bewertet werden. So benötigen bestimmte Arbeitsvorgänge innerhalb eines Unternehmens eine höhere Sicherheitsstufe als andere. Mit Nachdruck ist davon abzuraten, wichtige Dokumente auf einem externen Server unverschlüsselt abzuspeichern.
Falle 9: Kein Interesse für das BDSG: Zahlreichen Firmen ist nicht bewusst, wie detailliert der Umgang mit digitalen Informationen im Bundesdatenschutzgesetz (BDSG) geregelt ist. So laufen sie Gefahr, unabsichtlich gegen geltendes Recht zu verstoßen. Mit Endpoint-Security-Lösungen werden IT-Verantwortliche den Bestimmungen des BDSG bei der Datenverarbeitung auf dem Endpoint in vollem Umfang gerecht und bleiben mit dem Gesetz im Einklang.
