Von Christian Wewezow und Christine Pörsel
Unautorisierte interne Zugriffe gefährden zunehmend die IT-Sicherheit
Für Aufsehen sorgte in den letzten Wochen die Firma Utimaco. Dass die IT-Sicherheit in Unternehmen nicht nur durch unautorisierte externe Zugriffe gefährdet wird, sondern auch durch die eigenen Mitarbeiter, ist inzwischen hinlänglich bekannt. Der führende Hersteller von Datensicherheitslösungen führt in seiner aktuellen Kampagne jedoch insbesondere Teilzeit- und Ferienarbeitskräfte wie z.B. Studenten als größte Risikogruppe an. Sie seien meist nicht ausreichend über das Sicherheitskonzept und die bestehenden Sicherheitsrichtlinien eines Unternehmens informiert. Durch ihren freien Zugriff auf verschiedene vertrauliche Daten kann deren Sicherheit vom Unternehmen nur unzureichend kontrolliert und gewährleistet werden.
Leichtsinniger Umgang mit Datensicherheit
Bei dieser Argumentation sollte jedoch nicht unterschätzt werden, dass auch fest angestellte Mitarbeiter häufig sorglos und leichtsinnig mit der Datensicherheit in ihrem Unternehmen umgehen. Passwörter werden zu einfach ausgewählt, Rechner beim Verlassen des Arbeitsplatzes nicht kennwortgesichert, vertrauliche E-Mails und Dokumente nicht verschlüsselt oder Firmendaten auf privaten Wechselmedien abgespeichert. Im Schadensfall muss die Geschäftsführung eines Unternehmens dafür haften.
Aus diesem Grund ist die Sensibilisierung und Aufklärung der Mitarbeiter zur Prävention unautorisierter Zugriffe von ähnlich großer Bedeutung wie die Anwendung technischer Lösungen, z.B. SafeGuard Enterprise von Utimaco mit integrierten Verschlüsselungsfunktionen und Data Leakage Prevention oder eine restriktivere Rechtevergabe für Benutzer. Beispielhaft angeführt werden kann die Firma FIDUCIA, die 2007 für ihre Security Awareness-Kampagne mit der Silbermedaille für „herausragende Projekte der betrieblichen Sicherheit“ vom Land Baden-Württemberg ausgezeichnet wurde. Die Mitarbeiter wurden täglich über verschiedene interne Kommunikationskanäle über mögliche Risiken informiert und aufgeklärt und traten auch selbst als Protagonisten auf.
Wichtige Informationen bietet das Bundesamt für Sicherheit und Informationstechnik
Wichtige Hinweise für Unternehmen bietet das Bundesamt für Sicherheit und Informationstechnik in seinen Gefährdungs- und Maßnahmenkatalogen. Unternehmen erhalten dort sowohl Informationen für die Schulung von Mitarbeitern und zum Aufbau der IT-Infrastruktur als auch technische Anleitungen zur Gewährleistung der Sicherheit.
Die Sensibilisierung aller Mitarbeiter und ihre Integration in das bestehende Sicherheitskonzept können unerlaubten unternehmensinternen Zugriffen auf sensible Daten am wirksamsten vorbeugen. Auch Teilzeitmitarbeiter und Praktikanten können bereits durch grundlegende Maßnahmen eingebunden und Risiken minimiert werden. Jedoch gilt bei allen Konzeptionen zur Vermeidung unnötiger Einschränkungen und Behinderungen bei der Arbeit: „Soviel Sicherheit wie nötig – aber nicht unbedingt soviel wie möglich!“
Weitere Informationen:
www.bsi.bund.de