Die größten Fails bei der IT-Sicherheit in mittelständischen Unternehmen

Im letzten Jahr mussten viele Unternehmen ihre Angestellten relativ spontan ins Home-Office schicken. Die IT-Sicherheit musste zu Gunsten der körperlichen Unversehrtheit erst einmal zurückstecken.

Nun sind über 14 Monate vergangen und es werden immer häufiger Sicherheitslücken entdeckt, die es zu reparieren gilt. Und nicht alle sind auf die Spontanität im März 2020 zurückzuführen.

Was sind die größten Fails, die mittelständische Unternehmen in Sachen IT erlebt haben? – Wir fragen nach.

In unserem heutigen Interview stehen uns Herr Bastian Uzlas, zuständig für die technische IT-Sicherheit und bei Herrn Christoph Lichtenberger, dem sowohl die organisatorische Informationssicherheit als auch die Einhaltung der DSGVO obliegen, Rede und Antwort.

Herr Uzlas, was ist Ihrer Meinung nach der größte Irrglaube, den Unternehmen begehen, wenn sie Angestellte ins Home-Office schicken?

Uzlas: Ich denke, dass es jedem bewusst ist, dass der Home-Office-Arbeitsplatz keinen richtigen Arbeitsplatz ersetzt. So fällt es mir schwer, diese Frage mit einem Irrglauben gegenüber zu stellen.
Ich vermute, nicht einmal 10% aller Mitarbeiter:innen, die nun im Home-Office arbeiten, haben einen speziellen Platz für ihre Arbeit. Die meisten sitzen wahrscheinlich irgendwo an einem Küchentisch oder teilen sich Schreibtische mit anderen Familienmitgliedern, die ebenfalls ihre Tätigkeiten von zuhause verrichten müssen.
Vertrauliche Umgebung für z.B. Telefonate oder gezielte Konzentration, ebenso erholsame Pausen, ergonomische Haltung – nur ein paar Stichworte, die vermutlich beim Großteil der zuhause Arbeitenden auf der Strecke bleiben. Zum Irrglauben wird es für mich dann, wenn Firmen der Meinung sind, dass die Art und Weise gut funktioniert und die Mitarbeiter:innen mehr zuhause arbeiten könnten. Aus meiner Sicht ist ein Home-Office ohne einen Büroraum nicht als Dauerlösung zu sehen.

Welche Vorkehrungen sollten für die Arbeit im Home-Office getroffen werden und wie oft sind die tatsächlich vorgenommenen Vorkehrungen ausreichend?

Lichtenberger: Generell muss der Firmencomputer passwortgeschützt sein. Dann hilft auch beim Verlassen des Arbeitsplatzes das Sperren des PCs. Wenn ein Passwort offen auf dem Schreibtisch liegt und für jeden zugänglich ist, hat auch das beste Passwort keinen Wert mehr. Daher muss in erster Linie immer versucht werden, an einem separaten Arbeitsplatz, der nicht für jeden ohne weiteres zugänglich ist, zu arbeiten.

Uzlas: Firmen sollten ihren Mitarbeiter:innen, sobald diese ins Home-Office geschickt werden, Arbeitsgeräte zur Verfügung stellen. Ein gutes und gut gesichertes Passwort ist wichtig, zusätzlich muss man aber auch darauf achten, dass die eingesetzten Arbeitsgeräte einem gewissen Standard unterliegen. Ein PC, an dem mehrere Personen ihre Mails öffnen, Applikationen installieren und im Web surfen, sollte kein Zugangspunkt zu einer Firma sein dürfen.

Gibt es Branchen oder Abteilungen, die anders geschützt werden müssen als andere?

Lichtenberger: Absolut. Gerade im Gesundheitswesen wird ständig mit hochsensiblen Daten gearbeitet, daher gilt es hier besonders vorsichtig und mit Bedacht zu handeln. Aber auch Teilbereiche anderer Branchen, wie etwa die Automobilindustrie, verlangen einen besonderen Umgang. Hier denke ich beispielsweise an Entwicklungspläne oder neue Innovationen.

Uzlas: Ich schließe mich meinem Kollegen Lichtenberger an. Wie im Unternehmen selbst gelten die Vorgaben auch für den Heimarbeitsplatz. Wobei ich sogar so weit gehen würde, dass es Bereiche gibt, die von keinem Heimarbeitsplatz zur Verfügung stehen dürfen. Sobald ich meine kritischen Bereiche von der Ferne öffne, erhöhe ich dessen Anfälligkeit, Schaden zu nehmen.

Welche Folgen kann es nach sich ziehen, wenn etwa mit dem eigenen Laptop auf das Firmennetzwerk zugegriffen wird?

Lichtenberger: In vielerlei Hinsicht ist eine eigene Hardware schlecht für die Verwendung in der Arbeit. Durch die fehlende Steuerung durch die hauseigene IT ist der Laptop eine potentielle Sicherheitslücke in einem ansonsten vielleicht sehr sicheren Netzwerk. Das öffnet Hackern Tür und Tor.

Uzlas: Kurz gesagt: Keine Kontrolle, keine Einsicht, schlechte Nachvollziehbarkeit. Man schickt ja auch seine Mitarbeiter:innen nicht ins Internet-Café, um zu arbeiten.

Lassen Sie uns an ihrem skurrilsten Fall fehlender IT-Sicherheit teilhaben?

Lichtenberger: Ehrlicherweise muss ich gestehen, hatte ich noch keinen wirklich skurrilen Fall. Das Bewusstsein hat sich definitiv durch die Pandemie verstärkt.

Uzlas: Wenn die implementierte Sicherheit für spezielle Positionen im Unternehmen ausgehebelt wird. Mir bringt das best-implementierte Sicherheitskonzept wenig, wenn ich an anderen Stellen durch Ausnahmen meine Tore wieder öffne.

Herr Lichtenberger, Sie sind zuständig für die organisatorische Informationssicherheit. Was ist das genau?

Lichtenberger: Nun ja, die Erklärung steckt eigentlich schon in dem Wort „organisatorisch“ drin. Ich plane die Informationssicherheit. Zuerst gilt es, sich einen Überblick über Firmenstruktur, Netzwerk, Belegschaft, usw. zu verschaffen. Immer in Absprache, sowohl mit dem Kunden als auch mit dem Kollegen Uzlas, werden die nächsten Schritte geplant. Es ist die Mittelsmann-Position, die die technischen Umsetzungen mit den Anforderungen der Informationssicherheit verbindet.

Die DSGVO ist für viele ein Buch mit sieben Siegeln. Was würden Sie als den wichtigsten Punkt daraus bezeichnen, der aber dennoch häufig vergessen wird?

Lichtenberger: Mhmm… das ist allerdings eine schwierige Frage. Was oft vergessen wird bei der Datenerhebung, ist die gleichzeitige Minimierung. Die DSGVO schreibt vor, dass man dem Prinzip der Datenminimierung und Zweckbindung folgt. Gerade bei Webshops sieht man es oft, dass Daten erhoben werden, die für den Zweck gar nicht nötig sind.

Kann Home-Office Ihrer Meinung nach in allen Branchen und allen Abteilungen sicher umgesetzt werden?

Lichtenberger: Definitiv nein. Alle Branchen, deren Haupttätigkeit mehr im operativen Bereich liegt, können schon gar nicht die Homeoffice-Möglichkeit nutzen. Obwohl ich in der IT arbeite, bin ich selbst kein großer Freund von Home-Office. Ich bin lieber „am Mann und vor Ort“ *Schmunzel*

Uzlas: Ich glaube nicht, dass jede Branche und jede Abteilung auf solche Art Zugang zu ihren Arbeitsmitteln haben kann bzw. dessen Arbeit so ausgeführt werden kann. Also, nein. 

Wenn Sie die 5 größten Fails benennen sollten – welche wären das?

Lichtenberger:

  • Starke Passwörter, schlechte Sicherung
  • Fehlende Sensibilisierung im Bereich Informationssicherheit und Datenschutz
  • Fahrlässiger Umgang mit eigenen Daten
  • Fehlende Dokumentationen
  • Nicht jede Neuerung ist ein Fortschritt ohne Konsequenzen

Uzlas:

  • Kein Backup -> kein Mitleid 😉
  • Gute, aber ungenügend konfigurierte Systeme
  • Zu wenig Budget für IT und Sicherheit
  • Ungeschultes Personal bedient kritische Umgebungen
  • Unzufriedene Mitarbeiter = Gleichgültigkeit zur Betriebsumgebung

Vielen Dank!