Wer kennt das nicht? Wenn schnell eine Lösung gefunden werden muss, die Verantwortlichen aber gerade im Urlaub sind oder einfach die Bequemlichkeit siegt, bleibt die IT-Sicherheit schnell auf der Strecke. Provisorische Lösungen sorgen nicht selten für Sicherheitslücken und ziehen Datenschutzverstöße nach sich. In diesem Blog-Artikel lesen Sie mehr zu den vier Pain Points, die Mitarbeitende und IT-Veranwtortliche im Arbeitsalltag unbedingt beachten sollten.
Jeder kennt die Anforderungen im Bereich der Sicherheit, des Datenschutzes und der Compliance. Und obwohl diese Anforderungen bekannt sind, werden sie im Arbeitsalltag häufig zu einer echten Herausforderung. Immer wieder entstehen Situationen, die für die IT-Sicherheit schnell kritisch werden – ob aus Bequemlichkeit oder Unwissenheit. So verschicken Teammitglieder aus Zeitdruck sensible Dokumente z. B. schnell über ein öffentliches File-Hosting-System an falsche Kontaktpersonen oder, ganz banal, führen sensible Gespräche im öffentlichen Raum. Folgende vier sicherheitskritische Situationen passieren im Arbeitsalltag schnell und sollten deshalb umso strikter gehandhabt werden.
Pragmatischer Umgang mit sensiblen Daten
Mit der mordernen Technik ist so viel möglich: Arbeiten von überall und jederzeit. Kurz und bequem ein Gespräch per Smartphone in der U-Bahn führen, im Meeting die Bildschirmfreigabe für Kundendaten erteilen oder die Druckaufträge einfach bis zum nächsten Coffee-Run im Abteilungsdrucker liegen lassen. Kommen Ihnen solche Situationen bekannt vor?
Achtung: Personenbezogene Informationen dürfen auf keinen Fall einfach so ungeschützt im öffentlichen Raum zirkulieren – Telefonate in der U-Bahn sind ebenso tabu wie ungeschützte Dokumente. Das bedeutet: Sensible und personenbezogene Daten sollten nur unter Einhaltung der Datenschutzanforderungen und Sicherheitsbestimmungen mit vertrauenswürdigen Personen im firmeninternen Rahmen geteilt werden.
Eigene Definition von IT-Sicherheit
Unsichere Websites oder Apps sind offensichtlich und Phishing-E-Mails lassen sich auf einen Blick erkennen. Was soll diese Panikmache? Zumal erfahrene Mitarbeitende ja wissen, dass die Firewall Schutz gegen alle Angriffe bietet und man Updates am besten zwischen Weihnachten und Neujahr installiert. Und Datenprobleme mit WhatApps…? Ist doch alles verschlüsselt?
Achtung: Um eine umfassenden IT-Sicherheit zu gewährleisten, müssen für alle Stakeholder des Unternehmens die gleichen transparenten Vorgaben gelten. Das heißt, die Installation regelmäßiger System-Updates ist Pflicht. Zudem dürfen keine unsicheren Anwendungen zur Datenweitergabe oder Kommunikation verwendet werden. Und das wohl Wichtigste: Mitarbeitende dürfen zu keiner Zeit ihre eigenen Standards definieren, Updates für längere Zeit auf Stand-by setzen oder private Messenger für berufliche Zwecke nutzen.
Geräte nicht ungenutzt herumliegen lassen
Da kommt man in den Genuss des neuesten Smartphones oder Tablets, dass vom Arbeitgeber gestellt wird und dann soll es am Wochenende ungenutzt herumliegen? Dadurch wird es ja auch nicht besser. Viel zu schade. Zumal die Familie endlich mal ruckelfrei das aktuelle Internet-Game spielen kann. Und außerdem ist es doch viel nachhaltiger, wenn man sich ein Gerät teilt.
Achtung: Wenn berufliche Geräte auch für private Zwecke genutzt werden, ist ein besonderes Schutzkonzept von Nöten. Beim COPE-Konzept (Corporate-Owned, Personally-Enabled) können Unternehmen ihre Smartphones und Tablets für eine sichere Privatnutzung vorbereiten, indem sie beispielsweise eine Container-Lösung installieren. Damit können alle beruflichen Anwendungen abgeschirmt in einem verschlüsselten Bereich verarbeitet werden. Ein Zugriff privater Apps auf geschäftliche Daten ist damit ausgeschlossen.
Passwörter muss man sich merken können
In regelmäßigen Abständen sein Passwort ändern, dass dann auch immer länger und komplizierter werden muss? Abgesehen davon, dass man sich für verschiedene Anwendungen auch unterschiedliche Passwörter merken muss. „1234“ und „Schatzi“ waren früher auch ausreichend und professionelle Hacker können doch auch komplizierte Passwörter knacken.
Achtung: Passwörter und mehrstufige Authentifizierungsmaßnahmen sind für die IT-Sicherheit unerlässlich. Sie dürfen weder frei zugänglich sein, noch mit Dritten geteilt werden. Besonders IT-Administrations-Teams müssen darauf achten, dass Authentifizierungszugänge strikt umgesetzt werden. Tools und Schulungen können Mitarbeitende zudem im Passwortmanagement unterstützen. Was auf keinen Fall geht: ausgedruckte Passwortlisten auf dem Schreibtisch – und ja: auch ein abgeschlossener Rollcontainer bietet keinen adäquaten Schutz.
Haben Sie sich irgendwo ertappt gefühlt? Diese Don‘ts sind hier zwar überspitzt dargestellt, im Alltag aber immer noch Realität. Nicht selten sind sie Auslöser für einen Sicherheitsangriff, der im Worst-Case das ganze Unternehmen lahmlegt. Das kommt häufiger vor als man denkt. Deshalb führt kein Weg an einem unternehmensinternen Sicherheitskonzept vorbei. Dieses muss sowohl die DSGVO-Anforderungen als auch die Compliance von Sicherheitsmaßnahmen beinhalten. Das A und O sind zudem regelmäßige Schulungen der Mitarbeitenden. Denn jedes Sicherheitskonzept ist nur so gut, wie es im Alltag auch umgesetzt wird.