Wegweiser Mittelstand

Aspekt 8: Sicherheit

Richten Sie das Thema Sicherheit konsequent an Ihrem digitalen Reifegrad aus!

01.03.2017
Designed by Pressfoto / Freepik
Bildquelle: Designed by Pressfoto / Freepik

Einen ganzheitlichen Ansatz für die IT-Sicherheit wählen

Die Always-on-Verbindung setzt sich durch. Mit den (nahezu) flächendeckend vorhandenen Netzen, Flatrates und hochleistungsfähigen mobilen Endgeräten können Sie jederzeit im Internet sein. Hinzu kommt, dass Smartphones und Tablets im Prinzip PCs ebenbürtig sind.

Die IT-Sicherheit hält mit dieser Entwicklung in vielen Unternehmen nicht immer Schritt. Sie bleibt oft in der "alten Welt" gefangen: im Büro-PC, im Unternehmensnetzwerk. Oftmals reicht sie bestenfalls noch ins Notebook hinein. Was aber ist mit den mobilen "Devices", den dafür verfügbaren Apps, den darauf laufenden Betriebssystemen, den für die digitale Vernetzung benutzten Mobilfunknetzen, den verlockenden öffentlichen Hotspots etc.?

Eine geeignete, von Ihrem Unternehmen ausgehende und gesteuerte Strategie zum Schutz und zur Sicherung von Geräten, Netzwerken, Daten und Verbindungen, zur Aktualisierung von Betriebs- und Sicherheitssystemen sowie zur Authentifizierung der Benutzer ist dringend erforderlich.

Ihre IT-Sicherheitsstrategie sollte folgende Vorgehensweisen und Schritte beinhalten:

Auch Smartphones und Co. müssen vor Hacking, Viren, Würmern, Trojanern, Spammails etc. geschützt werden. Und weil das in vielen Fällen – oft aus Unwissenheit oder mangelnder technischer Kompetenz – vernachlässigt wird, reibt sich jeder Datendieb die Hände. Alle mobilen Endgeräte sind daher mit Nutzerkennungen und Passwörtern zu schützen. Entsprechende technische Vorkehrungen machen die Passworteingabe für den Benutzer unumgänglich und schaffen so einen ersten Schutz im Fall des Diebstahls oder Verlustes. Mit dem Fernlöschen von Daten und der Sperrung gehackter Geräte ist bereits ein guter Schutz der Daten und Identitäten auf dem Gerät erreicht.

Die Mitarbeiter müssen geschult und für das Thema IT-Sicherheit sensibilisiert werden. Sie müssen wissen, dass bestimmte Aktivitäten die "Arbeit" von Hackern und Datendieben erleichtern. Entsprechend darf es nicht erlaubt (oder möglich) sein, öffentliches WLAN ohne VPN zu benutzen. Dass Links und angehängte Dateien in Mails von Unbekannten nicht angeklickt werden, muss selbstverständlich sein.

Die Aktualität von Betriebssystemen sollte auf mobilen Endgeräten so selbstverständlich sein wie auf PCs oder in Netzwerken. Der IT-Verantwortliche oder IT-Dienstleister muss daher sicherstellen, dass alle in der Arbeit benutzten Geräte immer mit den neuesten Updates ausgestattet sind.

Es ergibt Sinn, alle Daten zu verschlüsseln, egal, wo sie gespeichert sind. Bei der Leistungsfähigkeit heutiger Technik ist das kein Problem und verbessert die Sicherheit erheblich, da Außenstehende keinen Zugriff auf gespeicherte Inhalte und Identitäten bekommen.

Die digitale Identität stellt klar, wer wann auf welche Daten und Dienste zugreift beziehungsweise zugreifen darf. Daher spielt in einem ganzheitlichen Sicherheitskonzept das Identity and Access Management (IAM), mit dem man genau nachvollziehen kann, wann welcher Nutzer welche Rechte für Systeme und Anwendungen benötigt und wie er diese Rechte auf welchem Gerät nutzt, eine bedeutende Rolle.

Wenn Mitarbeiter mobile Geräte des Unternehmens auch für private Zwecke benutzen dürfen oder ihre privaten Smartphones und Tablets für berufliche Zwecke einsetzen, dann muss mithilfe von Sicherheits-Containern eine Trennung privater und Unternehmensdaten sichergestellt werden. Das ist auf unternehmenseigenen Geräten einfacher als auf privaten. Technisch stellt auch das kein Problem dar. Man muss es nur umsetzen wollen.

Welche Informationen Sie wem zur Verfügung stellen und mit wem Sie sich in welcher Form austauschen, liegt in Ihrer Verantwortung – egal, ob Sie privat oder geschäftlich in sogenannten "digitalen Räumen" unterwegs sind. Präsentieren und vernetzen, Kontakte knüpfen und Informationen austauschen, mit Kunden und Geschäftspartnern kommunizieren: Soziale Netzwerke, Blogs und Foren sind solche digitalen Räume, die zunächst einmal im Prinzip jedem jederzeit offen stehen und von überall betreten werden können.

Um aber im Sinn des Daten- und Identitätsschutzes auch rechtlich auf der sicheren Seite zu bleiben, sollten Sie darauf achten, dass Sie, aber auch Ihre Mitarbeiter, folgende Regeln im Blick haben:

Bewusst vorsichtig mit Informationen umgehen

Austausch und Interaktion sind die Basis eines jeden sozialen Netzwerks. Wer geschäftliche Informationen ins Netz stellt, muss allerdings auch damit rechnen, dass diese von anderen "benutzt" werden.

So können sich nicht nur Kunden und Geschäftspartner ein Bild von Ihnen und Ihrem Unternehmen machen. Beispielsweise stoßen bei zu lockeren Privatsphäre-Einstellungen Außenstehende möglicherweise auf interne Informationen, die sie nichts angehen.

Identität schützen

Identitätsdiebstahl wird nicht nur direkt für den unbefugten Zugang zu Portalen, Netzwerken oder Bankkonten benutzt. Auch lukrativ ist in diesem Bereich der Cyberkriminalität der Diebstahl und anschließende Verkauf der Identitäten an Profis, die damit das richtig "dicke" Geschäft machen. Bedenken Sie: Wenn die Identitäten von Menschen, die Ihr Unternehmen nach außen repräsentieren, kompromittiert sind, dann gilt das auch für die "Identität" Ihres Unternehmens!

Genau überlegen und regeln, wer Zugang zu welchen Daten bekommt

Auch wenn immer mehr Suchmaschinen mittlerweile unter bestimmten Voraussetzungen Inhalte löschen müssen: Das Internet vergisst nichts! Haben Sie sensible Informationen erst einmal über das Internet zugänglich gemacht, können diese dennoch auch Jahre später noch an anderer Stelle auftauchen.

Dazu gehören auch Konversationen aus Chats und Foren, beispielsweise mit Kunden, die sich mit Ihnen bzw. mit Ihren Mitarbeitern in öffentlichen Bereichen über Qualitätsfragen ausgetauscht haben. Es empfiehlt sich, einen Social-Media-Kodex für die Mitarbeiter zu entwickeln, in dem klare Verhaltens- beziehungsweise Kommunikationsregeln aufgestellt werden.

Nur rechtlich legitimierte Inhalte ins Internet stellen

Sie sollten Texte, Bilder und Videos nur dann im Internet für Ihre Zwecke einsetzen, wenn Sie die Rechte dafür besitzen, die Inhalte selbst erstellt haben und die Daten keine Geschäftsgeheimnisse enthalten.

Fotos und Videos, auf denen Dritte gezeigt werden, dürfen nur mit der Zustimmung der gezeigten Personen verwendet werden. Auch personenbezogene Daten wie E-Mail, Adressen, Geburtsdatum etc. dürfen nur mit vorliegender Zustimmung ins Internet geladen oder weitergegeben werden.

Ein sicheres Passwort wählen

Ein leicht zu merkendes Passwort ist leicht zu knacken! Ein sicheres Passwort sollte wenigstens 15 Zeichen lang sein und aus Groß- und Kleinbuchstaben in Kombination mit Zahlen und Sonderzeichen bestehen. Verwenden Sie für jeden Zugang zu einem Portal, Shop oder Netzwerk ein anderes Passwort und wechseln Sie dieses regelmäßig.

Kommunikation verschlüsseln

Digitale Kommunikation über das Internet erfolgt in Datenpaketen, die auf ihrer Reise zahlreiche Server wie "Bahnhöfe" passieren, von denen aus sie bis zum Ziel weitergeleitet werden. Sind diese Datenpakete unverschlüsselt unterwegs, kann ihr Inhalt von technisch versierten Menschen mit Zugriff auf diese Server wie eine Postkarte gelesen werden.

Sie sollten also zum Beispiel Ihre E-Mails verschlüsselt versenden. Ihr E-Mail-Dienstleister gibt Ihnen sicher die Informationen, wie Sie dies tun können. Dasselbe gilt für Datenverbindungen, auch hier wird der Datenstrom in Pakete gepackt, die theoretisch "eingesehen" werden können.

Eine sichere Möglichkeit, Datenverbindungen aufzubauen, ist ein Virtuelles Privates Netzwerk (VPN), das eine sichere Übertragung von Daten und Sprache ermöglicht.

Betriebssysteme auf dem neuesten Stand halten

Betriebssysteme wie Microsoft Windows, Google Android, Apple iOS etc. werden von den jeweiligen Herstellern laufend technisch weiterentwickelt – auch um möglicherweise in diesen Systemen enthaltene Schwachstellen zu schließen.

Sie sollten deshalb darauf achten, dass die auf Ihren PCs, Smartphones, Tablets und anderen Geräten eingesetzte Version möglichst automatisch auf dem aktuellen Stand bleibt.

Sicherheitssoftware automatisch updaten

Halten Sie neben Ihrem Betriebssystem auch Ihre IT-Sicherheitslösung immer auf dem neuesten Stand ist. Am einfachsten funktioniert das, wenn Sie auf eine cloudbasierte Lösung setzen, wie sie heute von den großen Anbietern vertrieben werden. So können Sie sich vor Phishing-Betrügern und dem Download von Schadprogrammen schützen.

Sehr wichtig ist natürlich auch das Bewusstsein aller, dass es solche Betrugsversuche gibt. Daher gilt: nicht auf Links oder Dateianhänge in Nachrichten klicken, wenn diese nicht als sicher einzustufen und von der eigenen Sicherheitssoftware untersucht worden sind.

Sich nur mit geprüften Kontakten vernetzen

Das Vortäuschen einer falschen Identität ist im Internet einfach zu bewerkstelligen. Hier braucht Ihnen Ihr Gegenüber nicht in die Augen zu schauen. Prüfen Sie daher Vernetzungsangebote Ihnen unbekannter Personen oder Organisationen gründlich. So behalten Sie die Kontrolle darüber, wer was sehen und Kontakt zu Ihnen und Ihren Mitarbeitern aufnehmen darf.

Anhand der folgenden Punkte können Sie überprüfen, inwieweit das Thema IT-Sicherheit und der digitale Reifegrad in Ihrem Unternehmen aufeinander abgestimmt sind!

Digitale Transformation Shadow ITCloud ApplicationsSecurity RSS Feed abonnieren