Sämtliche Internetzugriffe des Unternehmens werden über Black- und Whitelists geschleust. Das betriebseigene WLAN nur für die Privatgeräte der Mitarbeiter ist auch physisch vom Firmennetzwerk völlig abgetrennt. Jeder neue Kollege im Haus bekommt durch die IT erst einmal eine halbtägige Schulung, in der er für Datenschutz sensibilisiert wird.
Und selbst diejenigen Teammitglieder, die im Home-Office arbeiten, sind nicht minder gut gesichert wie das Inhouse-Personal.
Zweifelsohne: Mit solchen Maßnahmen lässt sich ein Großteil aller potenziellen Sicherheitsprobleme eines durchschnittlich digitalisierten Unternehmens an der Wurzel greifen. Aber so, wie beim Fußball nicht alle Torgefahr aus Standardsituationen heraus entsteht, kommen auch nicht alle IT-Angriffe aus den offensichtlichen und immer gleichen Richtungen. Es verbleiben einige Positionen, die selbst routinierte IT’ler manchmal übersehen. Natürlich sollten auch sie Beachtung finden. Vier davon zeigt dieser Artikel.
1. Die digitalen Give-Aways
Die Digitalisierung macht auch vor der Welt der Werbegeschenke nicht halt. Und zumindest zu jedem Messeauftritt gehört es ganz natürlich, dass USB-Sticks geordert werden – auf denen lassen sich nicht nur Mappen und Präsentationen platzsparend an die Interessenten weitergeben, sondern die Sticks erfüllen auch noch einen Nachhaltigkeitsgedanken durch Weiternutzung.
Das Problem: Je nachdem, wo die Sticks bestellt werden, speziell wenn dabei aufzuspielende Daten in Richtung Hersteller gehen, kann es sein, dass hier Lücken entstehen. Entweder durch die Datenübertragung oder weil schlicht die Sticks neben den gewünschten auch unerwünschte Daten enthalten.
Die Lösung: Maximale Aufmerksamkeit auch seitens der IT darauf, wo solches Material bestellt wird. Ein wichtiges Merkmal ist, dass dieses delikate Thema angesprochen wird, anbieterseitig, wohlgemerkt. Und für hochsensible Daten sollte auch die Option bestehen, diese nach physischer Übergabe erst hierzulande auf die Sticks zu übertragen, statt in den Herstellerländern.
2. Private digitale Assistenten
In vielen Unternehmen wird das Betreten hochsensibler Bereiche nur gestattet, wenn zuvor die Kameralinsen am Smartphone des Betretenden durch Siegel-Sticker verklebt wurden. Sehr löblich, natürlich. Allerdings besitzen aktuell 57,7 Prozent aller Deutschen ein Smartphone. Das sind nur knapp zehn Prozent weniger als die gesamte volljährige Bevölkerung.
Das Problem: Damit liegt theoretisch und wahrscheinlich auch praktisch auf dem Smartphone jedes Mitarbeiters ein digitaler Assistent. Und ganz gleich, ob dieser auf Google, Siri oder andere Namen hört, schon mehrfach wurde in der Vergangenheit klar, dass diese zu oft die digitalen Ohren weit geöffnet haben. Natürlich auch in Meetings, bei der vielleicht halblauten Aussprache von Passwörtern oder sonstigen sensiblen Daten – welches Wort die Assistenten aktiviert, kann unheimlich vielfältig sein. Ein vielleicht oft nur theoretisches Problem, aber ein zu großes, um es zu ignorieren.
Die Lösung: Natürlich wäre es am besten, befänden sich gar keine Sprachassistenten auf den Mitarbeiter-Handys. Das scheitert jedoch meist nicht nur an ihrer nicht gegebenen Möglichkeit zur Deinstallation, sondern wäre natürlich auch ein Eingriff in die Privatsphäre des Mitarbeiters. Sofern es keine Option ist, die Handys ganz aus dem Betrieb zu verbannen, sollte entweder die Maßgabe gelten, dass die Assistenten morgens deaktiviert werden oder die Smartphones in kleinen schalldichten Kisten am Arbeitsplatz gelagert werden; also nicht in Taschen.
3. Plugins und Add-Ons für Browser
Die meisten Browser sind im serienmäßigen Zustand relativ sicher. Allerdings sind sie dann auch nicht so funktional, wie sie es sein könnten. Für praktisch jeden Browser gibt es deshalb zahllose Möglichkeiten, diese durch kleine Tools für unzählige Aufgaben zu erweitern, eben die Plugins beziehungsweise Add-Ons. Zwar gibt es diese auch in Varianten, welche die Grundsicherheit des Browsers nochmals beträchtlich erhöhen können, aber es geht eben auch in die andere Richtung:
Das Problem: Diese Erweiterungen haben theoretisch und praktisch das Zeug dazu, eine Lücke in einem ansonsten hochwertig abgesicherten System entstehen zu lassen. Einerseits deshalb, weil sie aus zahlreichen, in der Praxis kaum kontrollierbaren Quellen stammen und andererseits, weil die Plugins häufig nicht in der Frequenz Updates bekommen, wie es für ein derart sicherheitsrelevantes Bausteinchen eigentlich notwendig und wünschenswert wäre. Erst jüngst wurde bekannt, dass Google ein massives Problem bei seinem Chrome Webstore hatte und mehr als 70 gefährliche Add-Ons entfernen musste.
Die Lösung: Ohne Erweiterungen geht es vielfach nicht. Zumal diese ja wie angemerkt oft auch erstrebenswerte Sicherheitsboni liefern. Hier muss die Lösung deshalb darin bestehen, die Mitarbeiter jenseits der IT durch diese zu sensibilisieren: Keine Installation irgendwelcher Erweiterungen durch die User. Alles nur durch die IT. Das kann in der Praxis beispielsweise so erfolgen, dass der User nur weitergibt, welche Zusatzfunktion er benötigt. Die IT übernimmt dann sowohl die Recherche und Auswahl einer passenden Applikation wie deren Installation.
Gegebenenfalls sollte dies durchaus auch um regelmäßige Kontrollen der Browser ergänzt werden, falls es nicht möglich ist, generell die eigenverantwortliche Installation technisch zu unterbinden.
4. Zu großes Vertrauen in Namen
Das Telefon in einem Büro klingelt: „Hallo, hier ist Rausch aus der Buchhaltung. Ich habe irgendwie das Passwort für den Zugang ins ERP verlegt und will die IT damit jetzt nicht behelligen, können Sie mir rasch aushelfen?“
Wer als IT’ler angesichts dieses Beispiels mit dem Kopf schüttelt und sich denkt, dass das bei ihm niemals funktionieren könnte, macht wahrscheinlich den Fehler, von sich auf andere zu schließen. Was wir hier skizziert haben, ist eine Abwandlung der seit langem bekannten CEO-Masche. Und sie funktioniert leider immer wieder blendend, sogar mit Kontodaten und anderen im allerhöchsten Maß sensiblen Firmendaten.
Das Problem: Es braucht nur eine glaubwürdige Ausrede. Und je mehr Mitarbeiter beziehungsweise Abteilungen ein Unternehmen hat oder je neuer der angerufene Mitarbeiter ist (und dementsprechend die Kollegennamen noch nicht so umfassend kennt) desto besser funktioniert diese Form von Fraud. Sie tut es deshalb, weil die meisten Menschen in ihrer Natur hilfsbereit sind, weil sie im Alltag nicht misstrauisch genug sind – und oft genug mangels Erfahrung auf dem Gebiet leider auch gutgläubig.
Die Lösung: So hart es klingt, hier kann die Lösung nicht nur durch die IT erfolgen, sondern muss von dieser an die Geschäftsleitung gegeben werden: Die Maßgabe, dass ohne persönliche Verifikation keine Form von Informationen herausgegeben werden darf. Durch keinen einzelnen Mitarbeiter – gegebenenfalls unterstützt durch entsprechende und vertraglich vereinbarte Konventionalstrafen. Das mag nach einer sehr harschen Lösung klingen. Jedoch sind die potenziellen Risiken für Schäden noch wesentlich harscher.