Was empfehlen Sie neben Schulungen sonst noch?
Ari Albertini: Es muss innerhalb einer Organisation die Möglichkeit geben, Fehler frühzeitig zugeben zu können ohne, dass gleich drakonische Maßnahmen verhängt werden. Wie eben gesagt haben wir es auch bei der IT-Sicherheit und entsprechenden Vorfällen meist mit Fehlerketten zu tun. Das heißt, je früher auf etwas hingewiesen werden kann, desto größer ist die Wahrscheinlichkeit, dass man erfolgreiche Gegenmaßnahmen ergreift und es in Zukunft verhindert. Haben Angestellte hingegen Angst, auf etwas hinzuweisen, geht die Fehlerkette weiter.
Heißt das, dass man die Einzelperson also von jeglicher Schuld freisprechen kann?
Ari Albertini: Nein, aber es sollte nicht darum gehen, einen Schuldigen zu finden, sondern den Fehler in Zukunft so gut es geht abzustellen. Wie gesagt, wir reden nicht von jenen, die bewusst einem Unternehmen schaden wollen. Jedem Fehler muss ein Learning folgen und dieses muss auch kommuniziert und thematisiert werden.
Worauf sollten Nutzer denn beim sicheren Umgang mit Daten achten?
Ari Albertini: Wichtige Zugriffe, Programme und Daten sollten sowohl passwortgeschützt sein als auch hinter einer Zwei-Faktor-Authentifizierung (2FA) liegen. Die 2FA kennen die meisten bereits, wenn sie online mit der Kreditkarte zahlen oder sich bei Online-Banking anmelden. Sie ist mittlerweile sehr einfach über das Smartphone möglich.
Wenn sich Nutzer selber ein entsprechendes Passwort erstellen, müssen sie wissen, dass es ausreichend komplex sein sollte. In vielen Unternehmen gibt es dafür Passwortrichtlinien, die es unmöglich machen, schwache Passwörter einzurichten. Das ist aber nicht bei allen der Fall. Ein komplexes Passwort lässt sich im Idealfall nicht von persönlichen Faktoren ableiten. Der Geburtstag des Kindes, der Hochzeitstag oder der Name des Haustieres sind sehr anfällig für Social Engineering sind. Besonders, wenn die Nutzer viele Aspekte ihre Lebens in sozialen Netzwerken teilen.
Wenn ein solches Passwort ein unsicheres Programm schützt bringt es dann aber auch nichts.
Ari Albertini: Sicherheitsbewusstsein endet nicht beim Login, das stimmt. Angestellte müssen zum einen abgeholt werden, wenn es darum geht, welche Programme sie nutzen und welche sie nicht nutzen dürfen. Man denke hier etwa an scheinbar kostenlose und browserbasierte Filesharing-Portale, die oftmals aus datenschutzrechtlicher Sicht ein Albtraum sind. Hier kann eine entsprechend aufgestellte IT ebenfalls mit Blocklisten einiges verhindern, aber sie sollte nicht auf sich allein gestellt sein.
Zum anderen müssen Nutzer richtig geschult werden im Umgang mit den Lösungen, die geschäftskritische Daten verarbeiten. Es bringt nichts, sichere Anwendungen anzubieten, wenn diese falsch genutzt werden und dann umgangen werden. Unsere Erfahrung etwa im sicheren Datentransfer zeigt, dass die Nutzungsrate beim Kunden sehr hoch ist, wenn die Lösung leicht zu verstehen ist und wenn sich für die Nutzer möglichst wenig ändert.
Ähnlich wie bei Passwortrichtlinien oder Blocklisten bieten einige Lösungen Konfigurationen, die eine bestimmte ungewollte Art der Softwarenutzung automatisch unterbinden. Beispielsweise lässt sich einstellen, dass E-Mails mit Anhängen bestimmter Dateiformate oder -größen erst gar nicht verschickt werden können. Unternehmen sollten sich aber nicht nur auf die Technik verlassen. Jede technische Maßnahme wird umso effektiver, je sicherheitsbewusster die Angestellten sind.
Was passiert, wenn ich auf dem Weg nach Hause dann doch das Notebook im Bus liegen lasse?
Ari Albertini: Gerade mit dem Vormarsch des Home Office sollten mobile Arbeitsgeräte verschlüsselt sein können. Das in Kombination mit starken Passwörtern reduziert das Risiko, dass auch bei Verlust eines Gerätes Dritte auf sensible Daten zugreifen können.
Grundsätzlich sollte jedes Unternehmen für diese und andere Fälle ein effizientes betriebliches Notfallmanagement etablieren, in dem genau festgelegt ist, was als nächstes zu tun ist, um den akuten Schaden zu begrenzen. Wichtig ist dabei dann, dass alle Beteiligten genau wissen, was zu tun ist.