IT-Sicherheit ist wichtig

IT-Sicherheit ist wichtig, sollte aber keine Spaßbremse sein!

Share

Bei all meiner Euphorie für die Digitalisierung dürfen die Themen IT-Sicherheit und Datenschutz, weder in diesem Buch noch bei all Deinen Digitalisierungsvorhaben, zu kurz kommen. Allerdings bin ich der Meinung, dass dieses Thema nicht wirklich viel mit Kreativität oder Inspiration zu tun hat. Es geht eher um die nüchterne Betrachtung von Anforderungen, eine sachliche Entscheidungsfindung, um konsequente Umsetzung Deiner Sicherheitsstrategie und um die disziplinierte Bewertung und Weiterentwicklung der Schutzmaßnahmen. Deshalb findest Du im 111-Ideenbuch fürs Handwerk keine Idee, die sich explizit mit dem Thema Sicherheit beschäftigt. Vielmehr möchte ich dafür sorgen, dass Du Deinen Sicherheitsseismografen immer eingeschaltet haben, wenn Du „Deine“ Ideen in die Tat umsetzen.

Sagen wir mal so: Die Always-on-Verbindung hat sich weitestgehend durchgesetzt. Mit den (nahezu) flächendeckend vorhandenen Netzen, Flatrates und hochleistungsfähigen mobilen Endgeräten kann Jeder zu jeder Zeit im Internet sein. Hinzu kommt, dass Smartphones und Tablets den PC, als veritables Endgerät, hinter sich gelassen haben.

Die Frage, die Du Dir stellen musst, ist, ob IT-Sicherheit und Datenschutz in Deinem Unternehmen mit dieser Entwicklung Schritt halten? Oder bleiben sie möglicherweise in der „alten Welt” gefangen: im Büro-PC, im Unternehmensnetzwerk oder höchstens noch auf dem Notebook? Das wäre ein großer Fehler.

Denn was ist mit den mobilen Endgeräten, den dafür verfügbaren Apps, den darauf laufenden Betriebssystemen, den für die digitale Vernetzung benutzten Mobilfunknetzen, den verlockenden öffentlichen Hotspots etc.? Was ist mit einer Strategie zum Schutz und zur Sicherung von Geräten, Netzwerken, Daten und Verbindungen, zur Aktualisierung von Betriebs- und Sicherheitssystemen sowie zur Authentifizierung der Benutzer?

Nachfolgend, ohne Gewähr auf Vollständigkeit, findest Du Aspekte, die Bestandteil Deiner IT-Sicherheitsstrategie sein sollten – wenn sie es nicht schon sind:

  • Alle mobilen Endgeräte sind mindestens mit Nutzerkennungen und Passwörtern zu schützen. Entsprechende technische Vorkehrungen machen die Passworteingabe für den Benutzer unumgänglich und schaffen so einen ersten Schutz im Fall des Diebstahls oder Verlustes. Alternativ kann es natürlich auch ein Gerät mit Fingerabdrucksensor sein. Mit dem Fernlöschen von Daten und der Sperrung gehackter Geräte ist bereits ein guter Schutz der Daten und Identitäten auf dem Gerät erreicht.
  • Die Mitarbeiter müssen geschult und für das Thema IT-Sicherheit sensibilisiert werden. Ihnen muss klar sein, dass bestimmte Aktivitäten die „Arbeit“ von Hackern und Datendieben erleichtern. Entsprechend darf es nicht erlaubt (oder möglich) sein, öffentliches WLAN ohne VPN zu benutzen. Dass Links und angehängte Dateien in Mails von Unbekannten nicht angeklickt werden, muss selbstverständlich sein.
  • Die Aktualität von Betriebssystemen sollte auf mobilen Endgeräten so selbstverständlich sein wie auf PCs oder in Netzwerken. Es muss sichergestellt sein, dass alle geschäftlich genutzten Geräte immer mit den neuesten Updates ausgestattet sind.
  • Es ergibt Sinn, alle Daten zu verschlüsseln, egal, wo sie gespeichert sind. Bei der Leistungsfähigkeit heutiger Technik ist das kein Problem und verbessert die Sicherheit erheblich, da Außenstehende keinen Zugriff auf gespeicherte Inhalte und Identitäten bekommen.
  • Die digitale Identität stellt klar, wer wann auf welche Daten und Dienste zugreift beziehungsweise zugreifen darf. Daher spielt in einem ganzheitlichen Sicherheitskonzept das Identity and Access Management (IAM), mit dem man genau nachvollziehen kann, wann welcher Nutzer welche Rechte für Systeme und Anwendungen benötigt und wie er diese Rechte auf welchem Gerät nutzt, eine bedeutende Rolle.
  • Wenn Mitarbeiter mobile Geräte des Unternehmens auch für private Zwecke benutzen dürfen oder ihre privaten Smartphones und Tablets für berufliche Zwecke einsetzen, dann muss mithilfe von Sicherheits-Containern eine Trennung privater und Unternehmensdaten sichergestellt werden. Das ist auf unternehmenseigenen Geräten einfacher als auf privaten. Technisch stellt auch das kein Problem dar.

Spielregeln sind da, um sie einzuhalten

Präsentieren und vernetzen, Kontakte knüpfen und Informationen austauschen, mit Kunden und Geschäftspartnern kommunizieren: Soziale Netzwerke, Blogs und Foren sind digitale Räume, die im Prinzip jedem jederzeit offenstehen und von überall betreten werden können. Um aber im Sinn des Daten- und Identitätsschutzes auf der sicheren Seite zu bleiben, solltest Du darauf achten, dass Du und Deine Mitarbeiter folgende Regeln im Blick haben:

Bewusst sensibel mit persönlichen Informationen umgehen

Austausch und Interaktion sind die Basis eines jeden sozialen Netzwerks. Wer geschäftliche Informationen ins Netz stellt, muss allerdings auch damit rechnen, dass diese von anderen „benutzt“ werden. So können sich nicht nur Kunden und Geschäftspartner ein Bild von Dir und Deinem Unternehmen machen. Beispielsweise stoßen bei zu lockeren Privatsphäre-Einstellungen Außenstehende möglicherweise auf interne Informationen, die sie nichts angehen.

Genau überlegen und regeln, wer Zugang zu welchen Daten bekommt

Auch wenn immer mehr Suchmaschinen mittlerweile unter bestimmten Voraussetzungen Inhalte löschen müssen: Das Internet vergisst nichts! Hast Du sensible Informationen erst einmal über das Internet zugänglich gemacht, können diese dennoch auch Jahre später noch an anderer Stelle auftauchen.

Dazu gehören auch Konversationen aus Chats und Foren, beispielsweise mit Kunden, die sich mit Dir bzw. mit Deinen Mitarbeitern in öffentlichen Bereichen über Qualitätsfragen ausgetauscht haben. Es empfiehlt sich, einen Social-Media-Kodex für die Mitarbeiter zu entwickeln, in dem klare Verhaltens- beziehungsweise Kommunikationsregeln aufgestellt werden.

Ein sicheres Passwort wählen

Ein leicht zu merkendes Passwort ist leicht zu knacken! Ein sicheres Passwort sollte wenigstens 15 Zeichen lang sein und aus Groß- und Kleinbuchstaben in Kombination mit Zahlen und Sonderzeichen bestehen. Verwende für jeden Zugang zu einem Portal, Shop oder Netzwerk ein anderes Passwort und wechsle dieses regelmäßig.

Kommunikation verschlüsseln

Digitale Kommunikation über das Internet erfolgt in Datenpaketen, die auf ihrer Reise zahlreiche Server wie „Bahnhöfe“ passieren, von denen aus sie bis zum Ziel weitergeleitet werden. Sind diese Datenpakete unverschlüsselt unterwegs, kann ihr Inhalt von technisch versierten Menschen mit Zugriff auf diese Server wie eine Postkarte gelesen werden. Du solltest also zum Beispiel Deine E-Mails verschlüsselt versenden. Dein E-Mail-Dienstleister gibt Dir sicher die Informationen, wie Du dies tun kannst. Dasselbe gilt für Datenverbindungen, auch hier wird der Datenstrom in Pakete gepackt, die theoretisch „eingesehen“ werden können.

Betriebssysteme auf dem neuesten Stand halten

Betriebssysteme wie Microsoft Windows, Google Android, Apple iOS etc. werden von den jeweiligen Herstellern ununterbrochen technisch weiterentwickelt – auch um möglicherweise in diesen Systemen enthaltene Schwachstellen zu schließen.

Achte deshalb darauf, dass die auf Deinen PCs, Smartphones, Tablets und anderen Geräten eingesetzte Version möglichst automatisch auf dem aktuellen Stand bleibt.

Sich nur mit geprüften Kontakten vernetzen

Das Vortäuschen einer falschen Identität ist im Internet einfach zu bewerkstelligen. Hier braucht Dir Dein Gegenüber nicht in die Augen zu schauen. Prüfe daher Vernetzungsangebote Dir unbekannter Personen oder Organisationen gründlich. So behältst Du die Kontrolle darüber, wer was sehen und Kontakt zu Dir und Deinen Mitarbeitern aufnehmen darf.

Lasse mich noch Folgendes anmerken: Mache IT-Sicherheit und Datenschutz nicht zur „Spaßbremse“ Deiner Digitalisierung! Achte „einfach“ darauf, dass die bei Dir eingesetzten Sicherheitslösungen sowohl Deinen geschäftlichen Erfordernissen als auch den heutigen und künftigen Anforderungen der Digitalisierung entsprechen. Punkt.

 

Prüfe hier, auf welchem Level IT-Sicherheit und Datenschutz derzeit in Deinem Unternehmen stehen:

  • Wir verfügen über eine aktuelle Übersicht der digital zu vernetzenden Bereiche unseres Unternehmens.
  • Wir analysieren und bewerten potenzielle Ausfall- und Störungsrisiken für jeden Prozess und Unternehmensbereich.
  • Unsere bestehenden IT-Systeme werden laufend mit Blick auf Gefährdungspotenzial und mögliche Beeinträchtigungen des Geschäftsablaufs bewertet.
  • Privates und Geschäftliches sind auf allen bei uns zum Einsatz kommenden Geräten getrennt.
  • Wir verfügen über eine exakt auf unser Unternehmen abgestimmte IT-Sicherheitsstrategie.
  • Wir reduzieren die Komplexität bestehender IT-Systeme durch standardisierte Infrastrukturkomponenten oder ersetzen diese mit professionellen, vertraglich hinterlegten Diensten aus der Cloud.
  • Wir sorgen dafür, dass klare, auf Rollen basierte Zugriffsberechtigungen und Service-Level für alle Mitarbeiter und Geräte eingerichtet und laufend überwacht werden.
  • Wir tauschen uns zu akuten Gefährdungsszenarien mit Experten aus, um Wissen über und Bewusstsein für Risiken zu schärfen.
  • Wir sorgen unternehmensintern für ein hohes Bewusstsein dafür, dass Werte und Zugänge in der digitalen Welt mindestens genauso zu schützen sind wie in der analogen Welt. 

Eigentlich solltest Du neunmal „Ja“ angekreuzt haben! Falls nicht, besteht Handlungsbedarf!

© NicoElNino / stock.adobe.com