Neuigkeiten

IT-Sicherheit – 5 Tipps für das Homeoffice

Die Coronakrise hat viele Unternehmen dazu gezwungen schnell und agil zu reagieren. Dabei stand der Fokus nicht auf Informationssicherheit, sondern darauf die Unternehmung am Laufen zu halten und trotz Pandemie arbeitsfähig zu bleiben. Heimarbeitskonzepte, die sonst mühsam und mit Aufwand erstellt werden, fielen weg oder wurden schlicht nicht mit ausreichender Sorgfalt erarbeitet. Nach nun mehr als sechs Monaten hat sich allmählig Routine eingeschlichen und wie wir alle wissen, kann Routine manchmal fatale Folgen haben. Wie diese Routine durchbrochen werden sollte und welche vielseitigen Herausforderungen, mit Blick auf Informationssicherheit, sich Unternehmer stellen müssen, das beantwortet Marcel Hofmann, Informationssicherheitsberater bei der digIT 4u GmbH in Braunschweig, in einem Interview.

 

Was genau können wir uns unter Informationssicherheit vorstellen?

 

Die Informationssicherheit beschäftigt sich mit dem Schutz vor Bedrohungen und Gefahren die auf Unternehmenswerte, wie zum Beispiel IT-Systeme einwirken. Dabei stellt die IT einen der größten Bereiche der Informationssicherheit aber nicht ausschließlich. Weitere wichtige Werte sind wertschöpfende Prozesse, Maschinen, Patente, Akten, Verträge oder Zeichnungen in der Schreibtischschublade von Mitarbeitern. Bei der Informationssicherheit wird im Gegenzug zur IT-Sicherheit das ganze Unternehmen mit all seinen Informationswerten und nicht nur technischen Systemen betrachtet.

 

Gerade haben Sie Bedrohungen und Gefahren erwähnt, die auf Unternehmen einwirken, können Sie hier Beispiele bei der Arbeit zu Hause nennen und etwas konkreter werden?

 

Wir leben in einer Zeit, in der immer mehr Geräte mit dem Internet verbunden werden. Es ist das sogenannte „Internet of Things“. Mit einer nie zuvor dagewesenen Geschwindigkeit werden kleine smarte Helfer entwickelt, programmiert und auf den Markt gebracht. Für ausreichende Testphasen ist heute keine Zeit mehr. Es sind Dinge wie Smart-TVs, Smart-Watches, Sprachassistenten oder Geräte, um die Beleuchtung oder Heizung zu steuern. Diese Geräte stellen eine große Schwachstelle im Home-Office dar. Um diese Verwundbarkeit weiß das organisierte Verbrechen und nutzt Sie schamlos aus. Es gibt Banden, die ständig das Internet scannen und nach solchen Einfalltüren suchen. Das Wort Banden ist wahrscheinlich das falsche Wort, da diese aufgestellt sind wie Unternehmen. Sie werden geführt wie Unternehmen und sind auf Gewinnmaximierung ausgerichtet. Das ist meiner Meinung nach eine der größten Bedrohungen, der wir aktuell im Bereich Informationssicherheit und Home-Office ausgesetzt sind. Die Gefahr, die damit einher geht ist, dass vertrauliche oder streng vertrauliche Daten aus dem Unternehmen abfließen.

 

In meinen Beratungen höre ich immer: „Was haben wir denn schon Schützenswertes? Warum sollte sich jemand für unsere Daten interessieren?“

 

Es geht nicht nur den Abfluss von vertraulichen Daten. In einer Zeit, in der alles digitalisiert wird, was digitalisiert werden kann, könnte ein Angriff weitreichende Folgen haben. Vor einiger Zeit verschafften sich Angreifer Zugang in das Netzwerk eines Stahlwerkes. Sie manipulierten die Steuerung des Hochofens, so dass er massive Schäden erlitt. Hier können schnell komplette Existenzen auf dem Spiel stehen.

 

„Dem Hacker ist es egal welche Schwachstelle er ausnutzt, erkennt er eine Gelegenheit so wird er diese nutzen.“

 

Herr Hofmann, wie riskant empfinden Sie das Arbeiten von zu Hause aus?

 

Grundsätzlich stellt das mobile Arbeiten, sowie das Arbeiten von zu Hause ein besonderes Risiko für die Informationssicherheit dar. Mitarbeiter verlassen Ihre gesicherte Umgebung – das Büro. Im Unternehmen selbst gibt es meistens weitreichende Sicherheitsvorkehrungen und Richtlinien. Für die Entsorgung von Dokumenten steht der Aktenvernichter bereit, das Besuchen von Internetseiten wird reguliert und für Sicherheit nach der Arbeitszeit sorgt im besten Fall eine Alarmanlage. Umstände die während der Arbeit im Unternehmen zur Routine und Selbstverständlichkeit gehören sind zu Hause nicht immer gegeben und teilweise lauern dort andere Tücken. Wer denkt schon an „Junior“ der von der Schule kommt und sich schnurstracks an den neuen Rechner setzt, während Mama das Essen vorbereitet? Schnell sind Dateien von A nach B verschoben oder gelöscht und genau so schnell wie er am PC saß ist er wieder weg und keiner hat es gemerkt.

 

Viele Unternehmen haben doch bereits weitreichende Maßnahmen für den Datenschutz mit Einführung der DSGVO vorgenommen. Reicht das nicht aus?

 

Das kann ich Ihnen kurz und knackig beantworten. Nein. Der Datenschutz beschäftigt sich mit dem Schutz von personenbezogenen Daten. Die Informationssicherheit mit der Aufrechterhaltung von Systemen, Daten und Informationen. Das sind zwei komplett unterschiedliche Gebiete. Datenschutz könnte man als Teil der Informationssicherheit ansehen.

 

Welche Vorkehrungen können Unternehmen treffen um Ihr Schutzniveau zu steigern?

 

Ich denke die Maßnahmen, die man ergreifen sollte, sind so individuell wie Ihre Anwender. Zu Hause jetzt ein Fort Knox zu errichten ist wohl wie das Schießen mit Kanonen auf Spatzen. Der erste Ansatz sollte eine Analyse der Anforderungen und setzen von erreichbaren und vor allem messbaren Zielen sein. Nur an messbaren Zielen kann ich erkennen, ob meine Maßnahmen auch ihr Ziel erfüllen.
Als Geschäftsführer sind Sie für die Informationssicherheit verantwortlich und diese muss bei der Fahrt im ICE zum nächsten Geschäftstermin, beim Warten im Flughafen oder beim Arbeiten im Home-Office zu jeder Zeit gewährleistet sein.

 

  1. Schaffen Sie Richtlinien und Handlungsanweisungen für Mitarbeiter im Home-Office.
  2. Erstellen Sie ein Verzeichnis mit Ihren Informationswerten. Nur wer weiß was er schützen möchte, findet auch geeignete Mittel diesen Schutz zu gewährleisten.
  3. Klassifizieren Sie Ihre Dokumente und Informationen, um einen Überblick über sensible Daten zu erhalten.
  4. Führen Sie eine professionelle Risikoanalyse durch. Suchen Sie auch in schwierigen Zeiten professionellen Rat. Die Verantwortung für die Informationssicherheit trägt die Geschäftsführung und diese ist nicht delegierbar.
  5. Binden Sie die Verbesserung des Konzeptes in einen kontinuierlichen Prozess ein.

 

Haben Sie noch einen abschließenden Tipp?

 

Es ist nie zu spät gilt auch bei diesem brisanten Thema. Meine Meinung: „Fangen Sie jetzt an Ihre Informationssicherheit zu managen.“ Sie investieren damit in die Zukunft Ihres Unternehmens.

 

Vielen Dank für Ihre Zeit Herr Hofmann.

 

Ich danke Ihnen für das Interesse und die Möglichkeit des Interviews.