Die Digitalisierung ist nicht erst seit Corona Teil der Unternehmensagenda – die Pandemie hat das Bewusstsein dafür aber noch einmal drastisch geschärft. Dies schuf eine solide Grundlage für den Wandel hin zu flexibleren Arbeitsmodellen und das Arbeiten von Zuhause aus. In diesem Kontext nimmt IT-Sicherheit einen immer wichtigeren Stellenwert ein. Doch wie lässt sie sich effektiv umsetzen in einer Zeit, in der Cyberkriminelle verstärkt nach Schwachstellen suchen? Ralf Lautenbacher, unser Verantwortlicher für die Informationssicherheit (CISO) steht uns Rede und Antwort.
1. Was sind aktuell die größten Herausforderungen in Sachen Remote Work und Remote-IT-Sicherheit?
Ralf Lautenbacher: Viele Unternehmen schafften den spontanen Übergang zu Remote Work in der akuten Krisensituation. Die nächste große Herausforderung besteht nun darin, die neuen Arbeitsmodelle, die neu gewonnene Flexibilität und Eigenständigkeit sowie die (Cyber-) Sicherheit aller Mitarbeiter auf lange Sicht in Geschäftsstrukturen zu verankern. Besonders der IT-Sicherheit muss höchste Priorität zukommen, denn es besteht das Risiko, dass Cyberkriminelle Unsicherheit und ignorierte Schwachstellen ausnutzen, um in Unternehmensnetzwerke einzudringen und kritische Informationen abzugreifen. Die Angriffsfläche vergrößert sich, je mehr Mitarbeiter sich unterwegs oder von ihren Heimbüros aus über ihre Endgeräte mit dem Unternehmensnetzwerk verbinden.
2. Mit welchen technischen Hilfsmitteln lässt sich verhindern, dass sich Endgeräte zur Sicherheitsfalle im Homeoffice entwickeln?
Ralf Lautenbacher: IT-Teams müssen sich im Klaren sein, welche Kanäle, die zum Austausch von sensiblen Daten dienen, besonders gefährdet sind – vor allem dann, wenn diese Daten Unternehmensgrenzen verlassen. Damit die Arbeit zwischen verteilten Teams funktioniert, migrieren Unternehmen in die Cloud und greifen auf Cloud-basierte Kollaborationslösungen zurück. Doch die Sicherheitsfunktionen der Cloud Service Provider reichen häufig nicht aus, um die Daten in der Cloud umfassend zu schützen. Daher sollten Unternehmen parallel digitale Datenraum-Plattformen implementieren, auf denen sie sensible Informationen ablegen können. Die Einrichtung von Virtual Private Networks (VPNs) und Multifaktor-Authentifizierung (MFA) sollte ebenfalls zur Standardausstattung eines sicheren Heimarbeitsplatzes gehören.
3. Und wie gestaltet sich IT-Sicherheit zum Beispiel auf privaten oder mobilen Geräten wie Smartphones, die sich mittlerweile als „Arbeitstool für unterwegs“ durchsetzen konnten?
Ralf Lautenbacher: Grundsätzlich sollten Mitarbeiter Geräte nutzen, die das Unternehmen bereitstellt, da hier das Kontrollniveau von Seiten der IT-Abteilung am höchsten ist. Mittlerweile können digitale Lösungen dabei helfen, das Arbeiten vom eigenen Gerät aus sicherer und „compliant“ zu gestalten. Ein Bring-Your-Own-Device-Konzept (BYOD) mit klar definierten Richtlinien – wie beispielsweise die Trennung von privaten und geschäftlichen Daten – sollte dem vorangehen. Privatgeräte sollten mit einer Mobile-Device-Management-Lösung (MDM) ausgestattet werden, damit das IT-Team diese Systeme identifizieren, in ihre Sicherheitsstruktur einbinden und verwalten kann. Bei Smartphones ist die Gefährdungslage besonders hoch, da sie leichter verloren gehen oder geklaut werden. Auch hier lassen sich sichere Datenraum- und MDM-Lösungen installieren.
4. Was können die Mitarbeiter selbst tun, um IT-Risiken im Homeoffice Einhalt zu gebieten bzw. sie so gering wie möglich zu halten?
Ralf Lautenbacher: Besonnen handeln ist für alle Mitarbeiter ein Must-do. Dies umfasst Maßnahmen, die im ersten Moment selbstverständlich erscheinen: Geräte durch ein Passwort sichern, Bildschirmsperre aktivieren, Passwörter regelmäßig ändern, Arbeitsergebnisse ins Unternehmensnetzwerk übertragen oder verdächtige E-Mails ignorieren. Mitarbeiter mit Zugang zu besonders sensiblen Informationen wie Finanzdaten oder Privatadressen sollten den Informationsaustausch über verschlüsselte Verbindungen regeln. Zwar kann jeder Mitarbeiter zur Datensicherheit beitragen, jedoch liegt die Hauptverantwortung bei den Führungskräften.
5. Das heißt, IT-Sicherheit ist für Sie also Chefsache?
Ralf Lautenbacher: Der Arbeitgeber muss mithilfe von technischen und organisatorischen Maßnahmen die Einhaltung von DSGVO-Richtlinien gewährleisten können. Führungskräften obliegt es, diese Richtlinien an ihre Teams zu kommunizieren und durchzusetzen. Außerdem müssen sie der IT-Sicherheit in ihren Strategien eine hohe Priorität schenken. Denn viele Geschäftsbereiche bringen den Einsatz verschiedener Plattformen, Anwendungen und Anforderung mit sich, die die IT überblicken und absichern muss. Da für diese Ansammlung in vielen Fällen keine „One-size-fits-all“-Lösung zum Tragen kommt, müssen Führungskräfte ihrem IT-Team einen ausreichenden Handlungsspielraum verschaffen, wenn es um die Wahl der passenden Lösungen geht.
Führungskräfte stoßen zudem den notwendigen Kulturwandel an. Zum einen, indem sie sich selbst Wissen über IT-Sicherheit aneignen und bei der Entwicklung einer Sicherheitsstrategie die richtigen Fragen stellen. Zum anderen, indem sie mit gutem Beispiel vorangehen und jene Handlungsweisen vorleben, die sie von ihren Teams erwarten.
6. Welche Besonderheiten ergeben sich daraus für die Kommunikation und Arbeit von Führungsgremien?
Ralf Lautenbacher: Vorstände, Aufsichtsräte und Gremien tauschen in der Regel sensible und höchst vertrauliche Informationen aus, die es entsprechend vor Cyberkriminalität und Spionage zu schützen gilt. Spezielle Datenraum-Lösungen können bei dieser Herausforderung für eine sichere und effiziente Kommunikation sorgen. Diese Lösungen sollten über eine durchgängige Verschlüsselung der Daten – sowohl im gespeicherten Zustand als auch während des Versandes – verfügen, um Vertraulichkeit und Integrität zu wahren.
7. In der Big-Data-Ära kann Data Management auch unabhängig von Corona zur Herausforderung werden. Haben Sie zum Schluss Tipps, wie sich Data Management effizient und sicher umsetzen lässt?
Ralf Lautenbacher: Es gibt zwei Bereiche des Data Managements, auf die ich an dieser Stelle eingehen möchte: die Datenverwaltung sowie das Gewinnen von handlungsorientierten Erkenntnissen aus diesen Daten. Effizienz und Sicherheit bei der Verwaltung von Daten aus verschiedenen Quellen lassen sich unter anderem erreichen, wenn diese zentral erfolgt. Um aus Daten wichtige Insights über wichtige Markttrends oder Kundenbedürfnisse zu generieren, auf deren Grundlage sich schnell Entscheidungen treffen lassen, empfiehlt sich der Einsatz einer Business-Intelligence-Lösung, die alle relevanten Informationen aus dem Datenfluss zieht. In jedem Fall braucht es ein solides Sicherheitskonzept, das die Daten vor unautorisierten Zugriffen durch Cyberkriminelle schützt.
Geschrieben von Limor Gersch
Informationssicherheit, Interviews