Schluss mit den Provisorien in der IT-Sicherheit

Wer kennt sie nicht … die Provisorien des Arbeitsalltags. Wenn schnell eine Lösung gefunden werden soll, der Verantwortliche im Urlaub ist oder einfach die eigene Bequemlichkeit siegt: Dann entstehen Lücken in der IT-Sicherheit, die Datenschutzverstöße nach sich ziehen und die Risiken für einen Data Breach erhöhen.

Materna Virtual Solution zeigt vier Pain Points, die Mitarbeitende und IT-Verantwortliche besser beachten sollten.

Anforderungen im Bereich der Sicherheit, des Datenschutzes und der Compliance sind Arbeitnehmern bekannt. Im Arbeitsalltag werden sie dennoch zu einer Herausforderung. Ob aus Bequemlichkeit oder Unwissenheit – immer wieder entstehen Situationen, die schnell kritisch für die IT-Sicherheit werden. Beispielsweise wenn Teammitglieder aus Zeitdruck sensible Dokumente schnell über ein öffentliches File-Hosting-System an falsche Kontaktpersonen verschicken oder, ganz banal, sensible Gespräche im öffentlichen Raum führen. Damit Mitarbeitende nicht auf sogenannte „Schatten-IT“ zurückgreifen oder mit sensiblen Informationen zu fahrlässig umgehen, braucht es klare Handlungsanweisungen für kritische Szenarien und regelmäßige Schulungen. Kommunikations-Anbieter Materna Virtual Solution zeigt vier sicherheitskritische Situationen, die im Arbeitsalltag schnell passieren und deshalb umso strikter gehandhabt werden sollten.

1. Mit sensiblen Daten pragmatisch umgehen. In Sachen Arbeitsperformance hält die moderne Technik echte Booster für Mitarbeitende parat: In der U-Bahn kann man bequem per Smartphone telefonieren, im Meeting die Bildschirmfreigabe für Kundendaten erteilen oder die Druckaufträge einfach bis zum nächsten Coffee-Run im Abteilungsdrucker verweilen lassen. Kommen da etwa Sicherheitsbedenken? 

Sicherheit: Sensible und personenbezogene Daten sollten nur im firmeninternen Rahmen und unter Einhaltung der Datenschutzanforderungen und Sicherheitsbestimmungen mit vertrauenswürdigen Personen geteilt werden. Keinesfalls dürfen personenbezogene Informationen einfach so ungeschützt im öffentlichen Raum zirkulieren – Telefonate in der U-Bahn sind deshalb ebenso tabu wie ungeschützte Dokumente. 

2. Sicherheit soll jeder selbst definieren. Phishing-E-Mails sind allseits bekannt und unsichere Websites oder Apps lassen sich doch mit einem Blick erkennen … Erfahrene Mitarbeitende wissen ja, dass die Firewall Schutz gegen alle Angreifer bietet und man Updates am einfachsten zwischen Weihnachten und Neujahr installiert. Auch mit WhatsApp gab es doch bisher keine Datenschutzprobleme, ist doch alles verschlüsselt, oder?

Sicherheit: Im Sinne einer umfassenden IT-Sicherheit müssen für alle Stakeholder des Unternehmens die gleichen transparenten Vorgaben zur IT-Sicherheit gelten. Das beinhaltet die Vorgabe, dass regelmäßige System-Updates installiert und keine unsicheren Anwendungen zur Datenweitergabe oder Kommunikation verwendet werden. Keinesfalls darf jeder Mitarbeitende seine eigenen Standards definieren, Updates für längere Zeit auf Stand-by setzen oder private Messenger für berufliche Zwecke nutzen.

3. Devices sollten nicht ungenutzt herumliegen. Da stellt der Arbeitgeber das neueste Smartphone oder Performance-Notebook bereit und dann soll es am Wochenende sinnlos herumliegen? Wäre doch schade. Die private Nutzung entspricht ja eher dem Zeitgeist der Nachhaltigkeit und sorgt zudem für ordentlich Familienspaß, wenn das Gamen endlich mal ruckelfrei läuft. Was ist da schon dabei?

Sicherheit: Berufliche Geräte bedürfen eines besonderen Schutzkonzeptes, wenn sie neben den beruflichen Belangen auch für private Zwecke genutzt werden. Gemäß COPE (Corporate-Owned, Personally Enabled) können Unternehmen ihre Devices für eine sichere Privatnutzung vorbereiten. Das kann beispielsweise die Installation einer Container-gestützten Lösung sein, bei der alle beruflichen Anwendungen in einem verschlüsselten Software-Container verarbeitet werden.

4. Einfach zu merkende Passwörter. Alle paar Monate wieder ein neues Passwort vergeben, das jedes Mal länger und komplizierter werden muss? Schluss damit. „1234“ und „Schatzi“ haben doch früher auch für genügend Schutz gesorgt und bei professionellen Hackern ist der ganze Aufwand doch eh vergebene Liebesmüh … 

Sicherheit: Passwörter und mehrstufige Authentifizierungsmaßnahmen sind unerlässlich und dürfen weder frei zugänglich sein noch mit Dritten geteilt werden. IT-Administratoren müssen auf eine strikte Umsetzung der Authentifizierungszugänge achten. Durch den Einsatz von Tools und entsprechenden Schulungen können sie Mitarbeitende im Passwortmanagement unterstützen. Keinesfalls dürfen ausgedruckte Passwortlisten auf dem Schreibtisch zu finden sein – und ja: auch ein abgeschlossener Rollcontainer bietet keinen ausreichenden Schutz.

„Natürlich sind diese Don‘ts überspitzt dargestellt, jedoch im Alltag immer noch Realität. Spätestens dann, wenn ein Sicherheitsangriff das Unternehmen lahmgelegt hat“, erklärt Christian Pohlenz, Security Expert bei Materna Virtual Solution. „An einem unternehmensinternen Sicherheitskonzept, das DSGVO-Anforderungen und die Compliance von Sicherheitsmaßnahmen beinhaltet, führt deshalb kein Weg vorbei. Das A und O sind dann regelmäßige Schulungen. Denn jedes Sicherheitskonzept ist nur so gut, wie es von Mitarbeitenden im Alltag auch umgesetzt wird.“

www.materna-virtual-solution.com