COMPAREX AG
COMPAREX

Faktoren für ein IT-sicheres Unternehmen

IT-Sicherheit

"Gerade in Zeiten von Prism und XKeyscore besteht in deutschen Unternehmen in Sachen IT-Sicherheit noch enormer Nachholbedarf“, kritisiert der IT-Forensiker Christoph Willer. Lesen Sie in unserem Interview, warum es wichtig ist, die Mitarbeiter Ihres Unternehmens hinsichtlich der IT-Security-Awareness zu schulen und was Sie dafür tun können. Das Interview führte Andreas Rieb von der Firma Brainsecurity (www.brainsecurity.de) mit Christoph Willer, IT-Sachverständiger und Trainer der COMPAREX Akademie.

Ein Beitrag unseres Gastautors Christoph Willer, IT-Forensiker und -Trainer

Herr Willer, wie ist der aktuelle Stand in Sachen IT-Sicherheit bzw. -Awareness in deutschen Unternehmen?

Leider bestehen in puncto IT-Sicherheit in Deutschland weiterhin große Defizite, die dringend beseitigt werden müssen. Da die IT-Sicherheit nicht wie wirtschaftliche Güter mess- oder bewertbar ist, wird sich diese Situation erst ändern, wenn wirtschaftliche Schäden (hohe Kosten, Imageverluste usw.) im Unternehmen auftreten.

Was ist Ihrer Meinung nach der Grund für diese Situation und was schlagen Sie vor, dagegen zu unternehmen?

Ein wichtiger Grund für den Abfluss vertraulicher Unternehmensinformationen und -daten nach außen ist die sogenannte „Schatten-IT“. Hierunter fallen nicht nur „Bring your own device“ (BYOD), sondern sogar inzwischen „Bring your own network“ (BYON). Kein Unternehmensadministrator kann mehr ermessen, wohin Daten von privat eingebrachten Geräten verschoben oder „gesichert“ werden. Zu diesem fehlerhaftem Verhalten der Mitarbeiter gehört u.a.:

  • das Speichern wichtiger firmeninterner Daten in einer Cloud, die nicht oder nicht vollständig durch das Unternehmen administriert werden kann und somit zumindest in Teilen unkontrollierbar ist
  • das Versenden von E-Mails an ungesicherte oder zumindest nicht so gut gesicherte Privatbereiche
  • die Synchronisation privater Hardware mit Firmen-IT
  • die Bekanntgabe von vertraulichen Unternehmensinformationen über Soziale Medien
  • Unberechtigte Zugriffe auf Firmennetze, wie beispielsweise die Installation von Teamviewer

Meiner Meinung nach ist es deswegen unerlässlich, die Relevanz von IT-Sicherheit fest in den Köpfen der Mitarbeiter zu verankern. Das größte Problem ist häufig, dass vielen Mitarbeitern essentielle Grundkenntnisse zum Thema IT-Awareness fehlen, sie eine negative Einstellung zum Thema oder sogar bereits resigniert haben. Aufgabe des Managements sollte deshalb sein, ein positives Umfeld zu schaffen und durch Aus- und Weiterbildungen die Sicherheitsmaßnahmen für den Umgang mit vertraulichen Daten ins Bewusstsein der Mitarbeiter zu rufen.

Was hat sich für Sie als beste Möglichkeit herausgestellt, die Mitarbeiter hinsichtlich IT-Sicherheit zu schulen?

Zuallererst möchte ich betonen, dass sich in den meisten Sensibilisierungsveranstaltungen gezeigt hat, dass die Mitarbeiter durchaus Interesse am Thema IT-Sicherheit und -Awareness haben. Ich möchte an dieser Stelle jedoch deutlich machen, dass ein einzelner Vortrag nicht ausreicht, bei den Mitarbeitern ein entsprechendes Bewusstsein für die Thematik hervorzurufen. Einzelne Veranstaltungen rufen allenfalls ein zeitlich begrenztes Sicherheitsbewusstsein hervor. Die komplette Bandbreite der Gefährdungen und entsprechende Schutzmechanismen können am besten in technischen Live-Demonstrationen oder Trainings vermittelt werden. Wenn die Mitarbeiter die nötigen Grundkenntnisse erlernt haben, steigt auch ihr Wille, Gefahren zu vermeiden. Am sinnvollsten ist jedoch ein nachhaltiges, langfristiges „Erlernen“ der IT-Sicherheit.

Die Schulungen sollten getrennt für die jeweiligen Zielgruppen stattfinden. Zielgruppen sind zum einen die Entscheiderebene, wie Geschäftsführung, Management und Abteilungsleiter. Zum anderen hat es sich als sinnvoll erwiesen, die Administratoren und das technische Personal getrennt als eigene Zielgruppe gegenüber der dritten Zielgruppe, den IT-Nutzern, zu betrachten.

Verraten Sie uns die Faktoren für ein IT-sicheres Unternehmen?

Ich nenne Ihnen gerne die drei Faktoren für den Erfolg der IT-Sicherheit aus meiner Sicht:

  1. IT-Sicherheit als Unternehmensziel: Ganz wichtig ist, dass Sie als Administratoren geschulte Fachleute einsetzen. Als IT-Forensiker habe ich schon die unmöglichsten Sachen gesehen. So wurde bspw. in einer Praxis eine Arzthelferin, die sich einigermaßen gut mit Microsoft Office auskannte, als Administratorin für 20 PCs eingesetzt.

  2. Verfügbarkeit einer sicheren IT-Umgebung: Es ist unbedingt erforderlich, aktuelle Patches, ausgewählte Soft- und Hardware, die Aufteilung der Zugriffe nach administrativen und datenbearbeitenden Zwecken und eine passende Verschlüsselung und Infrastruktur zur Verfügung zu stellen.

  3. Dauerhafte Sensibilisierung der Mitarbeiter: Der Mitarbeiter sollte, wie ich bereits erwähnt habe, ständig in Sachen IT-Sicherheit geschult werden. Wichtig ist ein dauerhaftes Erlernen, um die Thematik voll und ganz zu verinnerlichen. Ich möchte hier jedoch unbedingt betonen, dass der Mitarbeiter auf keinen Fall überlastet werden sollte, weil er sonst resignieren wird. Im besten Fall erstellt ein Unternehmen mit Hilfe eines Spezialisten ein Konzept und sucht nach firmenspezifischen Aus- und Weiterbildungsmaßnahmen, die in lockerer, positiver Umgebung das trocken angehauchte Thema IT-Sicherheit vermitteln.

Nehmen wir an, all Ihre Vorschläge und Maßnahmen können erfolgreich umgesetzt werden und die Defizite in Sachen IT-Sicherheit in deutschen Unternehmen beseitigt werden: Wird Ihr Job als IT-Forensiker dann vielleicht durch die IT-Security-Awareness gefährdet?

Nein, das denke ich auf keinen Fall. Auch wenn man alle IT-Sicherheitsbestimmungen bestmöglich umsetzt, ist es fast unmöglich, externen oder internen Angreifern den Zugriff komplett zu verwehren. In Deutschland erfolgen täglich tausende IT-Angriffe, trotz Antiviren- und Firewall-Software. An dieser Stelle kommt die IT-Forensik ins Spiel. Sie hat die Aufgabe, den Sachverhalt so aufzubereiten, dass er vor Gericht verwertbar ist. Dazu gehören u.a. die Sicherung von Beweisen und gegebenenfalls die Feststellung von Spuren und Tätern. Nach diesem Schritt setzt dann wieder die IT-Security-Awareness ein, die durch technische, personelle und organisatorische Maßnahmen versucht, Sicherheitslücken präventiv zu vermeiden und endgültig zu schließen.

Diejenigen, die kriminelle Absichten haben, werden sich durch die IT-Security-Awareness nicht beeinflussen lassen, aber mit Hilfe der IT-Forensik kann man sie (hoffentlich) zur Strecke bringen und in weiteren Awareness-Schritten die Sicherheit an den betroffenen Stellen erhöhen, um ähnliche Angriffe zukünftig zu vermeiden. IT-Forensik und -Security-Awareness sind, wie Sie sehen, eng miteinander verknüpft.

Wann ist Ihrer Meinung nach das unternehmenseigene Sicherheitsziel erreicht?

Das ist erreicht, wenn sich die Mitarbeiter mit ihrem Unternehmen identifizieren können und ein „Wir-Gefühl“ entstanden ist. Die Mitarbeiter werden nie wieder Sicherheitsmaßnahmen umgehen, sondern einsehen, wie sinnvoll es ist, eigenverantwortlich Lücken zu erkennen und zu schließen.

Suchen Sie geeignete Aus- und Weiterbildungsmaßnahmen in Sachen IT-Sicherheit? Oder wollen Sie sich innerhalb eines Zertifizierungslehrgangs selber zum IT-Forensiker ausbilden lassen?

Mehr erfahren »

Diesen Artikel teilen

Artikel vom:
10.06.2015

geschrieben von:

TAGS:
Interview, IT-Sicherheit, Schulungen

Thema:

Kommentieren sie diesen Artikel...

© COMPAREX AG
Zurück nach oben