Hier schnell eine Nachricht verschicken, dort eine Datei mit einem externen Mitarbeiter oder Partner tauschen. Doch auch unter Zeitdruck darf die IT-Sicherheit nicht auf der Strecke bleiben.
Digitalisierung verändert unseren Arbeitsalltag: Mitarbeiter sitzen heute nicht mehr unbedingt am festen Arbeitsplatz, sondern loggen sich von zuhause oder unterwegs ins Firmennetzwerk ein. Sie nutzen mobile Endgeräte und arbeiten mit Menschen zusammen, die über die ganze Welt verstreut sein können. Damit das funktioniert, sind einfache und schnelle Kommunikationswege Pflicht. E-Mail hat sich seit vielen Jahren als unverzichtbare Technologie in Unternehmen etabliert. Auch Filesharing nimmt einen hohen Stellenwert ein. Überall, wo Mitarbeiter an verschiedenen Orten sitzen und Dateien austauschen möchten, werden solche Lösungen gebraucht. Aber wo Informationen fließen, lauern auch Gefahren.
"Nimm' doch schnell den Stick"? Das könnte Folgen haben. Foto: lipik - shutterstock.com
Vorsicht vor Lauschern und Malware
Umso mehr, weil E-Mail-Systeme und Filesharing-Dienste von Haus aus gar nicht oder nur unzureichend abgesichert sind. Angreifer haben es leicht, sich unbemerkt einzuklinken und mitzulesen. So können sensible Unternehmensgeheimnisse oder Kundendaten schnell in unbefugte Hände gelangen. Das ist nicht nur im Hinblick auf Spionage gefährlich, sondern auch in punkto Datenschutz. Verletzungen der geltenden Rechte und Verordnungen wie BDSG und GDPR können hohe Strafzahlungen nach sich ziehen. Und wenn solche Fälle an die Öffentlichkeit gelangen, führen sie nicht selten zu einem empfindlichen Schaden für das Image, der nicht zu kontrollieren ist.
Doch nicht nur was das Firmennetz verlässt ist in Gefahr: Die Tür steht auch nach innen offen. Hacker nutzen Kommunikationswege wie E-Mail und Filesharing gerne, um Malware einzuschleusen. Sie versuchen Mitarbeiter dazu zu bewegen, einen präparierten Anhang zu öffnen. Oder tricksen sie aus, indem sie mit falscher Identität sensible Informationen erfragen. Über Filesharing-Dienste bieten sie scheinbar nützliche Programme an, unter deren Deckmantel sich Schadsoftware tarnt. Über privat genutzte mobile Endgeräte gelangt der Bösewicht dann schnell ins Unternehmensnetzwerk.
Die Gefahr wächst durch Schatten-IT
Richtig gefährlich wird Filesharing, wenn Mitarbeiter Apps oder Public-Cloud-Dienste nutzen, von denen die IT-Abteilung nichts weiß. Der Einsatz ist für Fachabteilungen aufgrund der Geschwindigkeit bei der Umsetzung, hoher Nutzerfreundlichkeit und vermeintlich geringer Kosten sehr verlockend. Das Phänomen Schatten-IT beschäftigt heute fast alle Unternehmen. Sicherheitsexperten haben in diesem Fall keine Chance, geeignete Schutzmaßnahmen zu ergreifen. Sie verlieren den Überblick darüber, welche Daten das Unternehmen verlassen und wer Zugriff darauf hat. Public-Cloud-Dienste entsprechen in der Regel nicht den Sicherheitsrichtlinien für den Unternehmenseinsatz. Noch bedenklicher sind Peer-to-Peer-Filesharing-Apps wie BitTorrent oder uTorrent. Laut des „Allot Mobile Trends Report“ besteht für all diese Anwendungen die Gefahr von Malware-Angriffen. Vier von fünf (79 Prozent) männlichen und zwei Drittel (67 Prozent) aller weiblichen Berufstätigen nutzen jedoch mindestens einmal pro Tag eine riskante App.
Aber warum greifen Mitarbeiter zu gefährlichen Apps und nicht genehmigten Cloud-Diensten? Sie setzen vor allem dann eigene Anwendungen ein, wenn ihnen das Unternehmen die gewünschte Funktion nicht zur Verfügung stellt. Oder sie empfinden die erlaubten Programme als zu umständlich und wenden sich Alternativen zu, die sie von der privaten Nutzung gewohnt sind. IT-Abteilungen müssen daher sichere und komfortable Filesharing-Möglichkeiten zur Verfügung zu stellen. Eine einfache Benutzbarkeit ist entscheidend – das gilt auch für die Sicherheit in der E-Mail-Kommunikation.
Der einzige Weg, um vertrauliche Nachrichten vor Schnüfflern, Spionen und Hackern zu schützen, ist eine zuverlässige Verschlüsselung. Viele Anwender empfinden dies jedoch als zu umständlich. Wenn sie erst aufwendige Prozesse durchlaufen müssen, bevor sie eine Nachricht versenden können, bremst das ihren Arbeitsablauf aus. Deshalb verlassen auch sensible Informationen oft unverschlüsselt das Unternehmen.
Es sind also Lösungen gefragt, die im Hintergrund agieren – vom Mitarbeiter unbemerkt. Im Idealfall findet die Verschlüsselung automatisiert an einem zentralen Gateway statt, ohne dass der Anwender selbst aktiv werden muss. Gute E-Mail-Sicherheitslösungen verfügen zudem über einen integrierten Spam-, Viren- und Phishing-Schutz, der gefährliche Nachrichten herausfiltert, bevor sie überhaupt im Postfach landen. Die IT-Abteilung kann granulare Regeln festlegen, was mit welcher Kategorie von E-Mails passieren soll. Je mehr Sicherheitsfunktionen automatisiert ablaufen, desto besser. Umso weniger muss der einzelne Mitarbeiter nachdenken und selbst aktiv werden. Denn bei aller Technik bleibt der Faktor Mensch das größte Sicherheitsrisiko.
IT-Sicherheit: Menschliche Datenschutz-Fails
Großbritannien: Cabinet Office In Großbritannien gingen 2008 sicherheitspolitisch brisante Daten bezüglich Al-Qaida und den Irak aufgrund eines menschlichen Fehlers verloren. Ein Angestellter des Cabinet Office, welches direkt dem Premierminister und den Ministers of Cabinet untersteht, muss mit seinen Gedanken schon ganz im Feierabend gewesen sein, als er seine Arbeitsunterlagen in einem Pendelzug liegen ließ. Ein Fahrgast fand den Ordner mit den streng geheimen Dokumenten und übergab diesen der BBC, die ihn wiederum an die Polizei weiterleitete. Obwohl die Tagträumerei gerade noch einmal gut ging, wurde der Beamte daraufhin wegen Fahrlässigkeit suspendiert.
Frankreich: TV5 Monde Am 8. April 2015 wurde das Programm von TV5 Monde über mehrere Stunden hinweg blockiert, nachdem sich eine dem IS nahestehende Hacker-Gruppe namens „Cyber-Kalifat“ Zugang zu den IT-Systemen verschafft hatte. Nur einen Tag nach der Cyberattacke erlebte der französische TV-Sender ein Datenschutz-Debakel – dieses Mal aufgrund menschlichen Versagens: Reporter David Delos enthüllte während eines Interviews unabsichtlich die Passwörter für Social-Media-Konten des Senders - darunter YouTube, Instagram und Twitter. Diesen waren auf dem Whiteboard hinter dem Pechvogel zu sehen. Auch wichtige Telefonnummern waren zu sehen. Darüber hinaus offenbarte die Wand auch, wie es zum vorangegangenen Hack durch die Islamisten-Hacker kommen konnte: Und zwar in Form des Passwortes für den YouTube-Account von TV5 Monde: "lemotdepassedeyoutube" ( „daspasswortfüryoutube“).
USA: Department of Veterans Affairs Im Mai 2006 stahl ein Einbrecher den Laptop eines Mitarbeiters des US-Kriegsveteranen-Ministeriums. Dabei wurden ganze 26,5 Millionen Datensätze, die Informationen zu Kriegsveteranen und deren Angehörigen enthielten, entwendet. Der Bestohlene hatte die Daten unerlaubter Weise auf dem Notebook gespeichert, um "von Zuhause aus arbeiten zu können". Dieses menschliche Fehlverhalten wurde darin noch verstärkt, dass die Daten gänzlich unverschlüsselt auf der Festplatte lagen. Einen Monat später tauchte das Device mitsamt den Daten wieder auf - angeblich, ohne Anzeichen einer Kompromittierung. Der entstandene Schaden wurde dennoch auf einen Betrag von 100 bis 500 Millionen Dollar geschätzt. Alleine 20 Millionen Dollar musste das Department of Veteran Affairs in der Folge als Ausgleich an die Geschädigten entrichten.
Norwegen: Steuerbehörde Im Herbst 2008 hat die norwegische Steuerbehörde Daten zur Einkommenssteuer aller vier Millionen Norweger an Zeitungen und Rundfunkanstalten verschickt. Die Behörde veröffentlicht diese Zahlen jährlich, mit dem Ziel die Bürger zu ehrlichen Steuerzahlern zu "erziehen". Außergewöhnlich ist daran nur, dass in diesem Fall auch die sogenanten Personennummer mitveröffentlicht wurde. Diese besteht aus einer Zahlengruppe und dem Geburtsdatum des Bürgers und wird für gewöhnlich von den Daten abgetrennt, um Anonymität zu gewährleisten. Offiziell ist hierbei nicht von einem menschlichen Fehler die Rede, sondern von einem "Formatierungsproblem".
Belgien: Gesellschaft der Belgischen Eisenbahnen Die nationale Gesellschaft der Belgischen Eisenbahnen (NBMS) machte Anfang 2013 einen Ordner mit 1,5 Millionen persönlichen Daten ihrer Kunden via Web öffentlich zugänglich. Aus Versehen. Schuld war ein Mitarbeiter, der einen falschen Knopf gedrückt hat. Die Datensätze enthielten Namen sowie Wohn- und E-Mail-Adressen von NMBS-Kunden - darunter auch die von Mitarbeitern und Abgeordneten der EU-Institutionen in Brüssel.
Wir alle machen Fehler und sind anfällig für Betrug. Deshalb sollten Unternehmen ihre Mitarbeiter dafür sensibilisieren, welche Gefahren in Filesharing und E-Mail-Kommunikation lauern. Dazu zählen auch ein verantwortungsvoller Umgang mit sensiblen Daten und eine gesunde Skepsis gegenüber Fremden, die in E-Mails vertrauliche Fragen stellen. Wer Phishing-Mails erkennt, fällt nicht so leicht auf sie herein. Wer keine riskanten Anhänge öffnet, fängt sich nicht so leicht einen Virus ein.
Fazit: Es geht auch schnell, einfach und sicher
E-Mail und Filesharing ermöglichen in der mobilen Arbeitswelt eine schnelle Kommunikation und einen einfachen Dokumentenaustausch. Doch sie sind auch anfällig für Lauschangriffe und Malware-Attacken. Deshalb brauchen Unternehmen zusätzliche Sicherheitsvorkehrungen. Der einzige Weg, um Dateiübertragung und E-Mails zuverlässig zu schützen, ist eine professionelle Verschlüsselung. Sie sollte automatisiert im Hintergrund ablaufen, sodass sie den Anwender nicht in seinen gewohnten Arbeitsabläufen stört. Denn nur was einfach ist, wird auch genutzt.
Das gilt auch für Filesharing-Dienste: IT-Abteilungen sind in der Pflicht, eine komfortable und sichere Alternative zur Verfügung zu stellen, mit der Mitarbeiter Dateien austauschen können. Sonst nutzen sie eigene Apps und Public-Cloud-Dienste, deren Einsatz für Unternehmen gefährlich ist. (fm)
Das Einmaleins der IT-Security
Adminrechte Keine Vergabe von Administratorenrechten an Mitarbeiter
Dokumentation Vollständige und regelmäßige Dokumentation der IT
Sichere Passwörter IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig.
E-Mail-Sicherheit E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links.
Soziale Manipulation Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen.
Vorsicht beim Surfen im Internet Nicht jeder Link führt zum gewünschten Ergebnis.
Nur aktuelle Software einsetzen Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen.
Unternehmensvorgaben Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen.
Backups Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern.
Diebstahlschutz Mobile Geräte und Datenträger vor Verlust schützen.
Gerätezugriff Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren.
Sicherheitsrichtlinien Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien
Zugriffsrechte Regelung der Zugriffsrechte auf sensible Daten
Softwareupdates Automatische und regelmäßige Verteilung von Softwareupdates
Logfiles Kontrolle der Logfiles
Datensicherung Auslagerung der Datensicherung
Sicherheitsanalyse Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen
Notfallplan Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe
WLAN-Nutzung Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste
Firewalls Absicherung der Internetverbindung durch Firewalls
Biometrische Faktoren Einsatz von Zugangsschutz/Kennwörter/Biometrie
Zugangskontrolle Physische Sicherung/Zugangskontrolle und -dokumentation
Schutz vor Malware Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme
Webzugriffe Definition einer strukturierten Regelung der Webzugriffe
Verschlüsselung Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten
Löschen Sicheres Löschen der Daten bei Außerbetriebnahme
Update der Sicherheitssysteme Sicherstellung regelmäßiger Updates der Sicherheitssysteme
Monitoring Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten