Schluss mit den Provisorien in der IT-Sicherheit
Provisorien des Arbeitsalltags kennt jeder. Wenn schnell eine Lösung gefunden werden soll, der Verantwortliche nicht präsent ist oder einfach die eigene Bequemlichkeit siegt: Dann entstehen Lücken in der IT-Sicherheit, die Datenschutzverstösse nach sich ziehen und die Risiken für einen Data Breach erhöhen. Materna Virtual Solution zeigt vier Pain Points, die Mitarbeitende und IT-Verantwortliche besser beachten sollten.
Anforderungen im Bereich der Sicherheit, des Datenschutzes und der Compliance sind Arbeitnehmern bekannt. Im Arbeitsalltag werden sie dennoch zu einer Herausforderung. Ob aus Bequemlichkeit oder Unwissenheit – immer wieder entstehen Situationen, die schnell kritisch für die IT-Sicherheit werden. Beispielsweise Wenn aus Zeitdruck sensible Dokumente schnell am falschen Ort oder Kontaktperson gelangen oder, ganz banal, sensible Gespräche im öffentlichen Raum führen. Damit Mitarbeitende nicht auf sogenannte „Schatten-IT“ zurückgreifen oder mit sensiblen Informationen zu fahrlässig umgehen, braucht es klare Handlungsanweisungen für kritische Szenarien und regelmässige Schulungen. Der Softwarehersteller Materna Virtual Solution zeigt vier sicherheitskritische Situationen, die im Arbeitsalltag schnell passieren und deshalb umso strikter gehandhabt werden sollten.
Mit sensiblen Daten pragmatisch umgehen. In Sachen Arbeitsperformance hält die moderne Technik echte Booster für Mitarbeitende parat: In der U-Bahn kann man bequem per Smartphone telefonieren, im Meeting die Bildschirmfreigabe für Kundendaten erteilen oder die Druckaufträge einfach bis zum nächsten Coffee-Run im Abteilungsdrucker verweilen lassen. Kommen da etwa Sicherheitsbedenken?
Sicherheit: Sensible und personenbezogene Daten sollten nur im firmeninternen Rahmen und unter Einhaltung der Datenschutzanforderungen und Sicherheitsbestimmungen mit vertrauenswürdigen Personen geteilt werden. Keinesfalls dürfen personenbezogene Informationen einfach so ungeschützt im öffentlichen Raum zirkulieren – Telefonate in der U-Bahn sind deshalb ebenso tabu wie ungeschützte Dokumente.
Sicherheit soll jeder selbst definieren. Phishing-E-Mails sind allseits bekannt und unsichere Websites oder Apps lassen sich doch mit einem Blick erkennen. Erfahrene Mitarbeitende wissen ja, dass die Firewall Schutz gegen alle Angreifer bietet und man Updates am einfachsten zwischen Weihnachten und Neujahr installiert. Auch mit WhatsApp gab es doch bisher keine Datenschutzprobleme.
Sicherheit: Im Sinne einer umfassenden IT-Sicherheit müssen für alle Stakeholder des Unternehmens die gleichen transparenten Vorgaben zur IT-Sicherheit gelten. Das beinhaltet die Vorgabe, dass regelmässige System-Updates installiert und keine unsicheren Anwendungen zur Datenweitergabe oder Kommunikation verwendet werden. Keinesfalls darf jeder Mitarbeitende seine eigenen Standards definieren, Updates für längere Zeit auf Stand-by setzen oder private Messenger für berufliche Zwecke nutzen.
Geräte sollten nicht ungenutzt herumliegen. Da stellt der Arbeitgeber das neueste Smartphone oder Performance-Notebook bereit und dann soll es am Wochenende sinnlos herumliegen? Die private Nutzung entspricht eher dem Zeitgeist der Nachhaltigkeit und sorgt zudem für ordentlich Familienspass, wenn das Gamen endlich mal ruckelfrei läuft.
Sicherheit: Berufliche Geräte bedürfen eines besonderen Schutzkonzeptes, wenn sie neben den beruflichen Belangen auch für private Zwecke genutzt werden. Gemäss COPE (Corporate-Owned, Personally Enabled) können Unternehmen ihre Devices für eine sichere Privatnutzung vorbereiten. Das kann beispielsweise die Installation einer Container-gestützten Lösung sein, bei der alle beruflichen Anwendungen in einem verschlüsselten Software-Container verarbeitet werden.
Einfach zu merkende Passwörter. Alle paar Monate wieder ein neues Passwort vergeben, das jedes Mal länger und komplizierter werden muss? Nicht unbedingt empfehlenswert. Besser für die Sicherheit: Passwörter und mehrstufige Authentifizierungsmassnahmen sind unerlässlich und dürfen weder frei zugänglich sein noch mit Dritten geteilt werden. IT-Administratoren müssen auf eine strikte Umsetzung der Authentifizierungszugänge achten. Durch den Einsatz von Tools und entsprechenden Schulungen können sie Mitarbeitende im Passwortmanagement unterstützen. Keinesfalls dürfen ausgedruckte Passwortlisten auf dem Schreibtisch zu finden sein – und ja: auch ein abgeschlossener Rollcontainer bietet keinen ausreichenden Schutz.
„Natürlich sind diese Don‘ts überspitzt dargestellt, jedoch im Alltag immer noch Realität. Spätestens dann, wenn ein Sicherheitsangriff das Unternehmen lahmgelegt hat“, erklärt Christian Pohlenz, Security Expert bei Materna Virtual Solution. „An einem unternehmensinternen Sicherheitskonzept, das DSGVO-Anforderungen und die Compliance von Sicherheitsmassnahmen beinhaltet, führt deshalb kein Weg vorbei. Das A und O sind dann regelmässige Schulungen. Denn jedes Sicherheitskonzept ist nur so gut, wie es von Mitarbeitenden im Alltag auch umgesetzt wird.“
Quelle: www.virtual-solution.com