Ob in Papierform oder digital – die Sicherheit von Dokumenten ist für jedes Unternehmen von zentraler Bedeutung. Die zunehmende Digitalisierung verleiht dem Thema besondere Brisanz, da auch Cyberangriffe zunehmen. Wir sprachen mit Carsten Meerpohl, IT-Sicherheitsexperte bei Kyocera Document Solutions Deutschland, wie sich die Sicherheit von Informationen im digitalen Zeitalter gewährleisten lässt.
Die Zunahme von mobilen Arbeitsweisen und Homeoffice sorgte auch für einen Anstieg an Cyberattacken. In der Umfrage gaben 59 Prozent der Unternehmen an, dass es IT-Sicherheitsvorfälle gegeben habe, die auf die Heimarbeit zurückzuführen sind. Wie erklären Sie sich diesen Zuwachs?
Carsten Meerpohl: Die Gewährleistung der IT-Sicherheit stellt viele Unternehmen vor Herausforderungen. Das war auch vor Corona schon der Fall. Die Absicherung von Devices, die sich im Homeoffice und somit zum Teil außerhalb der IT-Infrastruktur befinden, macht es zusätzlich schwer. Daher überrascht es nicht, dass durch die Zunahme von mobilen Arbeitsweisen auch die Zahl der Angriffe deutlich gestiegen ist. Laut Bitkom verzeichneten 59 Prozent der Unternehmen, bei denen Homeoffice grundsätzlich möglich ist, seit Beginn der Pandemie IT-Sicherheitsvorfälle, die auf die Heimarbeit zurückzuführen sind. Datendiebe haben durch Homeoffice und Remote Working eine Vielzahl an weiteren Einfallmöglichkeiten, um Kommunikationsdaten oder geistiges Eigentum zu erbeuten.
Machen es Unternehmen Hackern zu leicht?
Carsten Meerpohl: Mehr Sicherheit hat auch mit der Änderung gewohnter Verhaltensweisen zu tun. Gleichzeitig sollen in der globalisierten Arbeitswelt Daten immer und überall verfügbar sein – dieser Spagat ist die eigentliche Herausforderung. Das Problem ist, dass viele Unternehmen nicht einmal merken können, dass sie angegriffen werden – weil entsprechende technische Voraussetzungen fehlen. Oft merken Unternehmen zudem gar nicht, dass sie angegriffen werden, weil im klassischen Sinne ja nichts gestohlen, sondern nur kopiert wurde.
IT-Sicherheit im New Normal: Livestream für Entscheider
Viele Unternehmen haben also gar kein Bewusstsein, dass Sicherheitslücken bestehen?
Carsten Meerpohl: Tatsächlich ist das Bewusstsein in vielen Unternehmen nicht groß ausgeprägt – das gilt vor allem für die Anwender. Viele Mitarbeiter empfinden zum Beispiel das regelmäßige Ändern des Passworts, das durch die IT vorgegeben ist, eher als Störung. Hier muss generell das Bewusstsein der Mitarbeiter geschärft werden. Zudem zielen viele Sicherheitsmaßnahmen in Unternehmen auf die Absicherung der Server oder Anti-Viren-Software für Notebooks und PCs ab – die Druckerflotte aber wird beispielsweise häufig übersehen. Dabei sind Drucker und Multifunktionsgeräte heute vollwertige Rechner oder eben Server – sie können mailen, auf Netzwerkordner zugreifen, verarbeiten Informationsdaten und haben Internetzugang. Damit stellen Drucker und MFP ein potenzielles Einfallstor für Hackerangriffe und Manipulationen dar, werden von IT-Verantwortlichen aber nicht in die IT-Sicherheitsstrategie eingebunden.
Welche Gefahren bestehen konkret durch Drucker und Multifunktionssysteme?
Carsten Meerpohl: Eine Umfrage, die wir unter Büroangestellten durchgeführt haben, zeigt, dass jeder fünfte Befragte regelmäßig Unterlagen im Ausgabefach eines Druckers findet, die nicht für ihn bestimmt sind und dort von demjenigen, der den Druckauftrag angestoßen hat, vergessen oder eben nicht abgeholt wurde. Dies kann zum einen Folgen haben, wenn es sich um sensible Unterlagen handelt – etwa Verträge oder Gehaltsabrechnungen – zum anderen liegt ein Verstoß gegen die Datenschutzgrundverordnung vor. Das kann schnell teuer werden. Hier wird die Diskrepanz klar: So gibt es kaum ein Unternehmen, in dem man ein Notebook oder Desktop-PC verwenden kann, ohne sich zuerst für das Netzwerk zu authentifizieren. Gleichzeitig können aber Multifunktionssysteme oder andere Geräte zum Drucken, Kopieren, Scannen ohne Authentifizierung genutzt werden. Dabei gibt es eine Reihe von Software-Lösungen, die das Drucken sicherer machen.
Es werden IT-Sicherheits-Lösungen also nur unzureichend angewandt?
Carsten Meerpohl: Die größten Risiken sind neben unsicheren Passwörtern immer noch Unachtsamkeit und Bequemlichkeit. Vertrauliche Dokumente, die abends vom Reinigungsteam im Druckerausgabeschacht entdeckt werden, sind kein Einzelfall. Mitarbeiter müssen für Dokumentensicherheit sensibilisiert werden, das Thema muss vom Unternehmen gelebt werden, und es muss investiert werden. Es ist also immer ein Zusammenspiel aus Bewusstsein und Technologie. Anders ausgedrückt: Auch die sicherste IT-Lösung nützt nichts, wenn Mitarbeiter unachtsam mit Daten umgehen.
Was kann man tun, um Informationen bzw. sensible Daten zu schützen?
Carsten Meerpohl: Im Zuge der Digitalisierung sind Daten immer verfügbarer geworden. Mit jeder E-Mail verlassen Dokumente das Unternehmensnetzwerk – was bei der vertraulichen Papierakte undenkbar war. Daher gilt es, den gesamten Dokumentenworkflow sicher zu gestalten. Welche Dokumente sind überhaupt vorhanden, wer darf sie sehen und wie sind sie abgelegt? Es beginnt mit der Analyse von Strukturen und geht weiter mit der Optimierung der Prozesse von der Erstellung bis zur Ablage des Dokuments.
Was sind die Gründe für dieses fehlende Bewusstsein?
Carsten Meerpohl: Das hat sicherlich damit zu tun, dass die Möglichkeiten der Überwachung kaum genutzt werden: Während PCs und Server seit Jahrzehnten überwacht werden, bleibt die Druckerflotte häufig außen vor. So stehen unterschiedliche Flottenmanagement-Tools zur Verfügung. Diese überwachen den Status jedes Systems. Im Unternehmen ist das auch gar nicht das große Thema, da ein Drucker oder MFP bekannte Netzwerkteilnehmer sind. Im Homeoffice sieht dies ganz anders aus: Hier hängt das System an einem privaten oder von der Firma bereitgestellten Router. Hier ist es nicht immer simpel auf das Device zuzugreifen.
Wie lässt sich ein Bewusstsein für die IT-Sicherheit in der Unternehmenskultur verankern?
Carsten Meerpohl: Es ist wichtig hier regelmäßig auf die Gefahren hinzuweisen und Anwender zu schulen. Das größte Sicherheitsrisiko ist der Mitarbeiter. Daher liegt das größte Potenzial auch im Bereich der Schulung und Vertrauensbildung. Die Einführung von neuen Lösungen und Devices sollte immer auch mit einer Schulung für mögliche Risiken einhergehen. Denn klar ist, dass dieses Thema Sicherheit in einer digitalen und agilen Arbeitswelt weiter an Relevanz gewinnt.
Wie unterstützt Kyocera Unternehmen hierbei?
Carsten Meerpohl: Wir bieten im Bereich Security und Compliance eine Reihe von Software-Lösungen, mit denen sich die Dokumentensicherheit verbessern lässt. Hierzu gehören Print-&-Follow-Lösungen wie der Kyocera Net Manager oder Kyocera Control oder auch unsere DMS-Lösung Kyocera Workflow Manager sowie viele weitere Software-Solutions, die auf die unterschiedlichsten Anforderungen bei einem Kunden zugeschnitten sind. Zudem betreiben wir eine kontinuierliche Kommunikation zu Endkunden und Partnern, um auf die IT-Sicherheit aufmerksam zu machen. Ein Beispiel ist unser Livestream-Format Kyocera Insights, in dem wir uns am 1. Dezember gemeinsam mit it-daily.net ausführlich diesem Thema widmen.
Vielen Dank für das Interview, Herr Meerpohl!