Schnell, einfach, unsicher?

IT-Sicherheit im Arbeitsalltag

29.03.2017
Marcel Mock ist CTO und Mitbegründer des Schweizer Sicherheitsexperten totemo. In dieser Funktion verantwortet er das gesamte technologische Portfolio und berät vorwiegend Großkunden. Davor war er als Head of Software Development bei WebSemantix AG tätig sowie als Consultant bei IBM Deutschland. Er ist Inhaber mehrerer Patente zum ThemaE-Mail-Verschlüsselung.
Hier schnell eine Nachricht verschicken, dort eine Datei mit einem externen Mitarbeiter oder Partner tauschen. Doch auch unter Zeitdruck darf die IT-Sicherheit nicht auf der Strecke bleiben.

Digitalisierung verändert unseren Arbeitsalltag: Mitarbeiter sitzen heute nicht mehr unbedingt am festen Arbeitsplatz, sondern loggen sich von zuhause oder unterwegs ins Firmennetzwerk ein. Sie nutzen mobile Endgeräte und arbeiten mit Menschen zusammen, die über die ganze Welt verstreut sein können. Damit das funktioniert, sind einfache und schnelle Kommunikationswege Pflicht. E-Mail hat sich seit vielen Jahren als unverzichtbare Technologie in Unternehmen etabliert. Auch Filesharing nimmt einen hohen Stellenwert ein. Überall, wo Mitarbeiter an verschiedenen Orten sitzen und Dateien austauschen möchten, werden solche Lösungen gebraucht. Aber wo Informationen fließen, lauern auch Gefahren.

"Nimm' doch schnell den Stick"? Das könnte Folgen haben.
"Nimm' doch schnell den Stick"? Das könnte Folgen haben.
Foto: lipik - shutterstock.com

Vorsicht vor Lauschern und Malware

Umso mehr, weil E-Mail-Systeme und Filesharing-Dienste von Haus aus gar nicht oder nur unzureichend abgesichert sind. Angreifer haben es leicht, sich unbemerkt einzuklinken und mitzulesen. So können sensible Unternehmensgeheimnisse oder Kundendaten schnell in unbefugte Hände gelangen. Das ist nicht nur im Hinblick auf Spionage gefährlich, sondern auch in punkto Datenschutz. Verletzungen der geltenden Rechte und Verordnungen wie BDSG und GDPR können hohe Strafzahlungen nach sich ziehen. Und wenn solche Fälle an die Öffentlichkeit gelangen, führen sie nicht selten zu einem empfindlichen Schaden für das Image, der nicht zu kontrollieren ist.

Doch nicht nur was das Firmennetz verlässt ist in Gefahr: Die Tür steht auch nach innen offen. Hacker nutzen Kommunikationswege wie E-Mail und Filesharing gerne, um Malware einzuschleusen. Sie versuchen Mitarbeiter dazu zu bewegen, einen präparierten Anhang zu öffnen. Oder tricksen sie aus, indem sie mit falscher Identität sensible Informationen erfragen. Über Filesharing-Dienste bieten sie scheinbar nützliche Programme an, unter deren Deckmantel sich Schadsoftware tarnt. Über privat genutzte mobile Endgeräte gelangt der Bösewicht dann schnell ins Unternehmensnetzwerk.

Die Gefahr wächst durch Schatten-IT

Richtig gefährlich wird Filesharing, wenn Mitarbeiter Apps oder Public-Cloud-Dienste nutzen, von denen die IT-Abteilung nichts weiß. Der Einsatz ist für Fachabteilungen aufgrund der Geschwindigkeit bei der Umsetzung, hoher Nutzerfreundlichkeit und vermeintlich geringer Kosten sehr verlockend. Das Phänomen Schatten-IT beschäftigt heute fast alle Unternehmen. Sicherheitsexperten haben in diesem Fall keine Chance, geeignete Schutzmaßnahmen zu ergreifen. Sie verlieren den Überblick darüber, welche Daten das Unternehmen verlassen und wer Zugriff darauf hat. Public-Cloud-Dienste entsprechen in der Regel nicht den Sicherheitsrichtlinien für den Unternehmenseinsatz. Noch bedenklicher sind Peer-to-Peer-Filesharing-Apps wie BitTorrent oder uTorrent. Laut des „Allot Mobile Trends Report“ besteht für all diese Anwendungen die Gefahr von Malware-Angriffen. Vier von fünf (79 Prozent) männlichen und zwei Drittel (67 Prozent) aller weiblichen Berufstätigen nutzen jedoch mindestens einmal pro Tag eine riskante App.

Aber warum greifen Mitarbeiter zu gefährlichen Apps und nicht genehmigten Cloud-Diensten? Sie setzen vor allem dann eigene Anwendungen ein, wenn ihnen das Unternehmen die gewünschte Funktion nicht zur Verfügung stellt. Oder sie empfinden die erlaubten Programme als zu umständlich und wenden sich Alternativen zu, die sie von der privaten Nutzung gewohnt sind. IT-Abteilungen müssen daher sichere und komfortable Filesharing-Möglichkeiten zur Verfügung zu stellen. Eine einfache Benutzbarkeit ist entscheidend – das gilt auch für die Sicherheit in der E-Mail-Kommunikation.

Der einzige Weg, um vertrauliche Nachrichten vor Schnüfflern, Spionen und Hackern zu schützen, ist eine zuverlässige Verschlüsselung. Viele Anwender empfinden dies jedoch als zu umständlich. Wenn sie erst aufwendige Prozesse durchlaufen müssen, bevor sie eine Nachricht versenden können, bremst das ihren Arbeitsablauf aus. Deshalb verlassen auch sensible Informationen oft unverschlüsselt das Unternehmen.

Je mehr Automatisierung, desto sicherer

Es sind also Lösungen gefragt, die im Hintergrund agieren – vom Mitarbeiter unbemerkt. Im Idealfall findet die Verschlüsselung automatisiert an einem zentralen Gateway statt, ohne dass der Anwender selbst aktiv werden muss. Gute E-Mail-Sicherheitslösungen verfügen zudem über einen integrierten Spam-, Viren- und Phishing-Schutz, der gefährliche Nachrichten herausfiltert, bevor sie überhaupt im Postfach landen. Die IT-Abteilung kann granulare Regeln festlegen, was mit welcher Kategorie von E-Mails passieren soll. Je mehr Sicherheitsfunktionen automatisiert ablaufen, desto besser. Umso weniger muss der einzelne Mitarbeiter nachdenken und selbst aktiv werden. Denn bei aller Technik bleibt der Faktor Mensch das größte Sicherheitsrisiko.

Wir alle machen Fehler und sind anfällig für Betrug. Deshalb sollten Unternehmen ihre Mitarbeiter dafür sensibilisieren, welche Gefahren in Filesharing und E-Mail-Kommunikation lauern. Dazu zählen auch ein verantwortungsvoller Umgang mit sensiblen Daten und eine gesunde Skepsis gegenüber Fremden, die in E-Mails vertrauliche Fragen stellen. Wer Phishing-Mails erkennt, fällt nicht so leicht auf sie herein. Wer keine riskanten Anhänge öffnet, fängt sich nicht so leicht einen Virus ein.

Fazit: Es geht auch schnell, einfach und sicher

E-Mail und Filesharing ermöglichen in der mobilen Arbeitswelt eine schnelle Kommunikation und einen einfachen Dokumentenaustausch. Doch sie sind auch anfällig für Lauschangriffe und Malware-Attacken. Deshalb brauchen Unternehmen zusätzliche Sicherheitsvorkehrungen. Der einzige Weg, um Dateiübertragung und E-Mails zuverlässig zu schützen, ist eine professionelle Verschlüsselung. Sie sollte automatisiert im Hintergrund ablaufen, sodass sie den Anwender nicht in seinen gewohnten Arbeitsabläufen stört. Denn nur was einfach ist, wird auch genutzt.

Das gilt auch für Filesharing-Dienste: IT-Abteilungen sind in der Pflicht, eine komfortable und sichere Alternative zur Verfügung zu stellen, mit der Mitarbeiter Dateien austauschen können. Sonst nutzen sie eigene Apps und Public-Cloud-Dienste, deren Einsatz für Unternehmen gefährlich ist. (fm)

»

IDG Executive Education - Cybersecurity

IDG Executive Education

Exklusiv-Seminar "Cybersecurity"

COMPUTERWOCHE/CIO und das Fraunhofer AISEC - Institut für Angewandte und Integrierte Sicherheit laden Manager am 26. und 27. September 2017 zu einer Fortbildung in Cybersecurity ein. Lernen Sie aktuelle Risiken kennen und einzuschätzen, stellen Sie den Kontext für Ihr eigenes Business her und entwickeln Sie die passenden Abwehrstrategien.

Mehr Infos unter:

www.idg-executive-education.de