Buchauszug Jan Bindig: „Das IT-Security Mindset – Der Mittelstand auf dem digitalen Prüfstand.“

 

 

Strategisch managen – Datensicherheit ist Chefsache

Die weltweite digitale Vernetzung unserer Wirtschaft hat dazu geführt, dass immer mehr Daten überhaupt existieren und verknüpft werden. Dies wiederum weckt Begehrlichkeiten bei Hackern und anderen Angreifern, die wiederum die gestiegenen technischen Möglichkeiten für sich nutzen können – trotz der Gegenmaßnahmen. Es ist ein Wettrüsten.

 

Jedem muss klar sein, wie wichtig Daten sind – vor allem auch als Chef. Fatal ist in diesem Zusammenhang die immer stärkere Verschränkung von Privatleben und Dienst, die sich auch auf die Technik und die Datensicherheit auswirkt. Auf dem privaten Handy kommuniziert man per WhatsApp mit Kollegen, auf dem Dienstrechner ruft man seine persönlichen E-Mails ab und vom heimischen PC aus hat man Zugriff auf das Firmennetzwerk. All dies erleichtert die Arbeit und die Kommunikation – aber auch die Machenschaften von Unbefugten.

 

IT, Datenschutz (DSGVO) und Datensicherheit gehören zusammen – und sie sind so wichtig, dass sie innerhalb eines Unternehmens hierarchisch ganz oben angesiedelt sein müssen. Je nach Firmengröße sollte dafür sogar der Chef / Geschäftsführer oder ein Vorstandsmitglied den Hut dafür aufhaben – oder ein Verantwortlicher, der direkt dem CEO be-richtet. Idealerweise bekleidet er die Funktion eines Chief Information Security Officers (CISO).

 

Diese Notwendigkeit der Chefsache ergibt sich übrigens allein schon aus der Daten-schutz-Grundverordnung, wie oben erwähnt. Sie fordert diese Personalisierung zwar nicht direkt. Aber es ist der Chef persönlich, der bei einem Vorfall belangt wird – also sollte er auch ein starkes Interesse daran, dass alles korrekt ist. Die IT-Abteilung mit all ihren Facetten gehört daher in die Verantwortung der Geschäftsführung. Und sie muss auch gelebt werden und in der Kultur des Unternehmens verankert werden. Ein Chef, der sich nicht übermäßig für IT-Dinge interessiert, muss sich stark dafür erwärmen. Der Bindig-Score führt dabei die wichtigsten Punkte ins Feld und kann als Leitfaden zu den bedeutsamsten Punkten dienen.

Denn IT und Datensicherheit sind nicht unterstützenden Aspekte wie eine Immobilie oder Strom, die „irgendwie auch“ zur Firma gehören – sondern sie sind existenziell. Und zwar aus mehreren Gründen:

• IT, die Digitalisierung und die digitale Transformation bestimmen immer mehr unser Leben und Wirtschaftsleben: Alle Möglichkeiten, die die Technik bietet für Dienst-leistungen und Produkte, müssen daher ausgeschöpft und vorher natürlich erkannt werden. Im Kampf mit der Konkurrenz kann dies ein Wettbewerbsvorteil sein, oder zumindest ein Faktor, der eine Firma nichts ins Hintertreffen geraten lässt.

• Der zweite Punkt ist das Thema Datenschutz/DSGVO. Die Vorschriften hier sind dermaßen komplex, und die Strafen und Konsequenzen so harsch, dass von deren Einhaltung die Existenz des Unternehmens abhängen kann. Zudem sind durch die DSGVO so viele organisatorische, technische und finanzielle Entscheidungen nötig geworden, dass sie nur vom Tisch eines Chefs/eines Vorstands aus getroffen werden können.

• Das Thema Datensicherheit wiederum – um das sich dieses Buch dreht – birgt ebenso viele Facetten und Aspekte, die die generelle Sicherheit und den Betrieb des Unternehmens bestimmen. Gehen wichtige Daten verloren oder geht die IT in die Knie – was heute fast überall Arbeitsstillstand bedeutet – so ist der wirtschaftliche Schaden enorm, aber auch die Reputation einer Organisation gefährdet. Auch dies kann ein Unternehmen bis an den Rand des Abgrunds führen, und darüber hinaus. Es liegt also auf der Hand, dass in der obersten Etage ein großes Verständnis für alle diese Punkte aufgebracht oder entsprechend erarbeitet werden muss. Diese Entwicklung muss vom Chef ausgehen und organisiert werden.

• Er muss sich die geeigneten Leute heranziehen oder einstellen, die richtigen Fragen stellen, gemeinsam mit ihnen und/oder externen Dienstleistern Pläne und Konzepte erstellen, um schließlich die adäquaten Entscheidungen zu treffen – die dann wiederum im gesamten Unternehmen kommuniziert werden müssen. So kennt, versteht und lebt jeder auch die Datenschutz- und Datensicherheitsleitlinien. Alle Mitarbeiter müssen vor allem in Hinblick für Datenschutz (wenn sie personenbezogene Daten verarbeiten) sensibilisiert werden, genauso wie für ihren Beitrag, für IT-Sicherheit zu sorgen und eben nicht unbedacht E-Mail-Anhänge von Fremden öffnen.

• Zum Managen gehören neben dem Organisieren und Entscheiden natürlich auch die finanziellen Ressourcen. All die oben und in diesem Buch skizzierten Dinge kosten natürlich Geld. Sie gehören jedoch zu einem Unternehmen so fest dazu wie Mitarbeiter, Räumlichkeiten und Mobiliar. Insofern muss die Budgetierung in ausreichendem Maße erfolgen, da IT & Co. zu den tragenden Säulen einer Firma gehören, die obendrein den Wettbewerbsvorteil sichern. Das Budget, und die dazugehörigen Anschaffungen und Maßnahmen, müssen jedoch einer Strategie folgen. Gerade Panik und Aktionismus verleiten zu nicht ausreichend aufeinander abgestimmten Insellösungen, die meist nicht effektiv oder schlichtweg überdimensioniert sind.

• Wenn noch nicht vorhanden, muss das IT-Sicherheits-Know-how langfristig aufgebaut werden. Sie müssen sich dazu gegebenenfalls einen IT Security-Manager heranziehen.

• Zudem sollten sie IT-Sicherheits-Zertifizierungen durchführen, etwa nach ISO 27001. Ich empfehle generell die Einführung eines Information Security Management System (ISMS), selbst wenn gar keine ISO-Zertifizierung besteht. Daneben sollten sie aktiv Sicherheitsaudits, Penetrationstests und Hacker-Simulation planen und durchführen; natürlich nur, wenn es zur Größe und Ausrichtung des Unternehmens passt.

• Mit einem IT-Sicherheitskonzept priorisieren Sie die im Ernstfall umzusetzenden Maß-nahmen – und müssen daraufhin die nötigen Voraussetzungen für ein professionelles Reagieren schaffen. Dabei sollten Sie aber nicht in wahllosem Aktionismus versinken. Denn viele Unternehmen sind zwar inzwischen allgemein alarmiert und sorgen für die gewünschten Budgets, Menschen und Material. Doch ersetzt dies noch keinen runden Plan. Nötig ist vielmehr eine durchdachte, beispielsweise dreiteilige Sicherheitsstrategie, die nach strategischer, taktischer und operationeller Sicherheit unterscheidet.

• Dazu gehört unter anderem auch der Desaster und Recovery-Plan mit einer entsprechenden Vorbereitung für einen Datenrettungsfall. Hierzu sollten sie einen Rahmenvertrag mit einem spezialisierten Datenrettungsunternehmen abschließen. Dies beschleunigt eine etwaige Rettungsaktion enorm, zumal sie dann auch nicht unter Hast und Druck recherchieren, Preise vergleichen oder Ansprechpartner suchen müssen.

• Bei allem müssen sie auch die Gebäudesicherheit immer mit einbeziehen und sich nicht nur auf die Geräte und die Software konzentrieren. Denn viele Datenpannen und  -verluste geschehen eben auch rein physisch, also durch Diebstahl der Geräte oder durch Feuer- und Wasserschäden. Sie müssen also für äußere und innere Zutrittskontrollen sorgen, die Zutritte dokumentieren und Routinen dafür schaffen, wenn es einen Alarm gibt. Dies ist jedoch ohnehin Teil eines IT-Sicherheitskonzepts.

• Haben Sie verschiedene Standorte, womöglich international, potenzieren sich die nötigen Anstrengungen und der Abstimmungsaufwand. Naturgemäß machen dezentrale Strukturen alles komplexer, auch wegen etwaiger unterschiedlicher Vorschriften und Gesetze. Eine transparente Kommunikation – ohnehin immer anzuraten – ist hier besonders wichtig. Dezentrale Strukturen können zwar auch zu mehr Sicherheit führen (weil nicht alles an einer Stelle konzentriert wird), erhöhen jedoch auch die Gefahr von Einfallstoren für Angreifer. Durch die komplexere Vernetzung müssen sie umso mehr ihre IT auf Sicherheitsmerkmale prüfen. Hierzu gehören Mehr-Faktor-Authentifizierungen und eine strikte IT-Sicherheits-Policy, die über zentrale Gruppenrichtlinien auch international umgesetzt werden muss. Voraussetzung ist hier besonders ein hierarchisch gesehen hoher Einfluss der IT – idealerweise auf CEO-Ebene.

• Sie sollten eine systematische Verwaltung aller mobilen Geräte einrichten, ein sogenanntes Mobile Device Management. Schließlich haben heutzutage viele Mitarbeiter ein Notebook, ein Smartphone und vielleicht noch ein spezielles Firmengerät, sagen wir mal ein Messgerät, einen Barcodescanner oder eines für den Außendienst, der damit seine Arbeitsleistungen nachweist. All diese Geräte sind einerseits „normale Einfallstore“, andererseits ist hier die Gefahr von Wildwuchs und Eigenleben besonders groß, zumal die Gegenstände naturgemäß häufig mit nach Hause und möglicherweise dort auch verwendet werden. Daher müssen all diese Gerätschaften zentral verwaltet und registriert sein. Allein das ist zwar kein besonderer oder zusätzlicher Schutz. Doch kann man so im Ernstfall besser nachvollziehen, von wo ein Angriff kam.

 

Daher sind strikte Regelungen notwendig, die Mitarbeitern zeigen, was sie dürfen und was nicht. So kann es etwa vorkommen und erlaubt sein, dass sich ein Mitarbeiter auf einer Dienstreise ein neues Smartphone zulegt, weil das alte gerade vollständig kaputtgegangen ist. Dieser Tausch muss aber angezeigt werden. So kann beispielsweise später nachvollzogen werden, dass über das längst ausrangierte Handy bereits vor einem Jahr eine Attacke erfolgt war – die erst jetzt zum Tragen kommt. Für die Fehlersuche, die aktive IT-basierte Sicherheitsanalyse von Anomalien oder das reaktive Ausschalten von Angriffen ist daher ein strukturiertes Mobile Device Management unerlässlich. Auf diese Weise ist ein vollständiges Register vorhanden und vor allem auch das Bewusstsein für die Historie aller Geräte.

 

 

Jan Bindig „Das IT-Security Mindset – Der Mitelstand auf dem digitalen Prüfstand.“ FinanzBuch Verlag, 19,99 Euro, 160 Seiten, https://www.it-security-mindset.de/

 

Insgesamt sollten Sie bei allem auch die Erwartungshaltung einnehmen, dass Sie jederzeit Opfer eines Hackerangriffs werden können (was durchaus realistisch ist). Diese Alarmbereitschaft kann vor allem weniger technikaffinen Chefs helfen, sich besser auf Bedrohungsszenarien einzustellen und sich für das Thema zu sensibilisieren. Rechtzeitiges Erkennen von Angriffen, das Erstellen von Notfallplänen und -maßnahmen sowie das Identifizieren von Schwachstellen sollten dabei im Mittelpunkt stehen. Sieht man sich letztere genau an – wie sie das Analystenhaus techconsult in Studie Security Bilanz Deutschland veröffentlicht hat – und macht daraus Aufgabenstellungen, so sollten Sie sich weitere folgende Punkte vornehmen:

• Haben Sie anspruchsvolle Lösungen zur Erkennung von Angriffen in Ihrer Organisationen installiert, so müssen Sie diese auch richtig umsetzen
• Setzen Sie Mehrfaktor-Authentifizierungsverfahren mit Smart-Cards, USB-Tokens oder sogar eine biometrische Authentifizierung ein
• IT-Sicherheitslösungen funktionieren nur so gut, wie auch Ihre Mitarbeiter darüber informiert sind und diese befolgen

Mehr Sicherheit muss effizient und praktikabel gleichzeitig sein. Schließlich muss Ihre Organisation arbeitsfähig bleiben – und die Mitarbeiter müssen die Vorgaben auch akzeptieren. All dies ist eine organisatorische Herausforderung, die zwar zentral angeleitet, aber dezentral erledigt werden muss. In den allermeisten Fällen weiß der Firmenchef jedoch nicht, was seine IT genau macht. Der Chef denkt, es würde schon alles richtig laufen – technisch, rechtlich, organisatorisch. Und die IT denkt, dass der Chef denkt, schon zu wissen, wie er die Leitplanken aufstellt. Mit anderen Worten: Jeder arbeitet vor sich hin – bis etwas passiert. Insofern müssen Chef und IT dringender denn je zusammenkommen, ihr Wissen, ihre Erwartungen und Vorstellungen abgleichen – und Mechanismen schaffen, sich stets ein Update zu geben. Die Knackpunkte und Schwachstellen müssen gefunden werden, man muss Pläne machen – und vor allem die gleiche Sprache sprechen.