Coverstory - IT-Sicherheit

Wie hochsensible Informationen geschützt werden können

Ralf Lautenbacher, CISO von Brainloop
LinkedInXingPocketWhatsAppFlipboard

Die Digitalisierung ist nicht erst seit Corona Teil der Unternehmensagenda – die Pandemie hat das Bewusstsein dafür aber noch einmal drastisch geschärft.

Dies schuf eine solide Grundlage für den Wandel hin zu flexibleren Arbeitsmodellen. In diesem Kontext nimmt IT-Sicherheit einen immer wichtigeren Stellenwert ein. Doch wie lässt sie sich effektiv umsetzen in einer Zeit, in der Cyberkriminelle verstärkt nach Schwachstellen suchen? it management-Herausgeber Ulrich Parthier sprach mit Ralf Lautenbacher, CISO von Brainloop.

Anzeige

Was sind aktuell die größten Herausforderungen in Sachen Remote Work und Remote-IT-Sicherheit?

Ralf Lautenbacher: Viele Unternehmen schafften den spontanen Übergang zu Remote Work in der akuten Krisensituation. Die nächste große Herausforderung besteht nun darin, die neuen Arbeitsmodelle, die neu gewonnene Flexibilität und Eigenständigkeit sowie die (Cyber-) Sicherheit aller Mitarbeiter auf lange Sicht in Geschäftsstrukturen zu verankern. Besonders der IT-Sicherheit muss höchste Priorität zukommen, denn es besteht das Risiko, dass Cyberkriminelle Unsicherheit und unerkannte Schwachstelle ausnutzen, um in Unternehmensnetzwerke einzudringen und kritische Informationen abzugreifen. Die Angriffsfläche vergrößert sich, je mehr Mitarbeiter sich unterwegs oder von ihren Heimbüros aus über ihre Endgeräte mit dem Unternehmensnetzwerk verbinden.

Mit welchen technischen Hilfsmitteln lässt sich verhindern, dass sich Endgeräte zur Sicherheitsfalle im Homeoffice entwickeln?

Ralf Lautenbacher: IT-Teams müssen sich im Klaren sein, welche Kanäle, die zum Austausch von sensiblen Daten dienen, besonders gefährdet sind – vor allem dann, wenn diese Daten Unternehmensgrenzen verlassen. Damit die Arbeit zwischen verteilten Teams funktioniert, migrieren Unternehmen in die Cloud und greifen auf Cloud-basierte Kollaborationslösungen zurück. Doch die Sicherheitsfunktionen der Cloud Service Provider reichen häufig nicht aus, um die Daten in der Cloud umfassend zu schützen. Daher sollten Unternehmen parallel zentrale digitale Datenraum-Plattformen implementieren, auf denen sie sensible Informationen ablegen können. Die Einrichtung von Virtual Private Networks (VPNs) und Multifaktor-Authentifizierung (MFA) sollte ebenfalls zur Standardausstattung eines sicheren Heimarbeitsplatzes gehören.
 

Die nächste große Herausforderung besteht darin, die neuen Arbeitsmodelle, die neu gewonnene Flexibilität und Eigenständigkeit sowie die (Cyber-) Sicherheit aller Mitarbeiter in Geschäftsstrukturen zu verankern. Ralf Lautenbacher, CISO, Brainloop
 

Und wie gestaltet sich IT-Sicherheit zum Beispiel auf privaten oder mobilen Geräten wie Smartphones, die sich mittlerweile als „Arbeitstool für unterwegs“ durchsetzen konnten?

Ralf Lautenbacher: Grundsätzlich sollten Mitarbeiter nur Geräte nutzen, die das Unternehmen bereitstellt, da so das Kontrollniveau von Seiten der IT-Abteilung am höchsten ist. Sollte es erforderlich sein mit einem Privatgerät auf Geschäftsdaten zugreifen zu müssen, so können digitale Lösungen dabei helfen, das Arbeiten vom eigenen Gerät aus sicherer und „compliant“ zu gestalten. Ein Bring-Your-Own-Device-Konzept (BYOD) mit klar definierten Richtlinien – wie beispielsweise die Trennung von privaten und geschäftlichen Daten – sollte dem vorangehen. Privat und Geschäftsgeräte sollten mit einer Mobile-Device-Management-Lösung (MDM) ausgestattet werden, damit das IT-Team diese Systeme identifizieren, in ihre Sicherheitsstruktur einbinden und verwalten kann. Bei Smartphones ist die Gefährdungslage besonders hoch, da sie leichter verloren gehen oder gestohlen werden. Auch hier können sichere Datenraum- und MDM-Lösungen genutzt werden.

Was können die Mitarbeiter selbst tun, um IT-Risiken im Homeoffice Einhalt zu gebieten beziehungsweise sie so gering wie möglich zu halten?

Ralf Lautenbacher: Besonnen handeln ist für alle Mitarbeiter ein Must-do. Dies umfasst Maßnahmen, die im ersten Moment selbstverständlich erscheinen: Geräte durch ein Passwort sichern, Bildschirmsperre aktivieren, komplexere Passwörter verwenden, Arbeitsergebnisse regelmäßig ins Unternehmensnetzwerk übertragen oder verdächtige E-Mails ignorieren und auch melden. Mitarbeiter mit Zugang zu besonders sensiblen Informationen wie Finanzdaten oder Privatadressen sollten den Informationsaustausch über verschlüsselte Verbindungen regeln. Jeder Mitarbeiter kann zur Datensicherheit beitragen, jedoch müssen Führungskräfte die Verantwortung tragen, dass Sicherheitsrichtlinien in ihren Teams etabliert und regelmäßig überprüft werden.

Das heißt, IT-Sicherheit ist für Sie also Chefsache?

Ralf Lautenbacher: Der Arbeitgeber muss mithilfe von technischen und organisatorischen Maßnahmen die Einhaltung von DSGVO-Richtlinien gewährleisten können. Führungskräften obliegt es, diese Richtlinien an ihre Teams zu kommunizieren und durchzusetzen. Außerdem müssen sie der IT-Sicherheit in ihren Strategien eine hohe Priorität schenken. Denn viele Geschäftsbereiche bringen den Einsatz verschiedener Plattformen, Anwendungen und Anforderung mit sich, die die IT überblicken und absichern muss. Dafür diese Ansammlung in vielen Fällen keine „One-size-fits-all“-Lösung zum Tragen kommt, müssen Führungskräfte ihrem IT-Team einen ausreichenden Handlungsspielraum verschaffen, wenn es um die Wahl der passenden Lösungen geht.

Führungskräfte stoßen zudem den notwendigen Kulturwandel an. Zum einen, indem sie sich selbst Wissen über IT-Sicherheit aneignen und bei der Entwicklung einer Sicherheitsstrategie die richtigen Fragen stellen. Zum anderen, indem sie mit gutem Beispiel vorangehen und jene Handlungsweisen vorleben, die sie von ihren Teams erwarten.

Welche Besonderheiten ergeben sich daraus für die Kommunikation und Arbeit von Führungsgremien?

Ralf Lautenbacher: Vorstände, Aufsichtsräte und Gremien tauschen in der Regel sensible und höchst vertrauliche Informationen aus, die es entsprechend vor Cyberkriminalität und Spionage zu schützen gilt. Spezielle Datenraum-Lösungen können bei dieser Herausforderung für eine sichere und effiziente Kommunikation sorgen. Diese Lösungen sollten über eine durchgängige Verschlüsselung der Daten – sowohl im gespeicherten Zustand als auch während des Versandes – verfügen, um Vertraulichkeit und Integrität zu wahren.

In der Big-Data-Ära kann Data Management auch unabhängig von Corona zur Herausforderung werden. Haben Sie zum Schluss Tipps, wie sich Data Management effizient und sicher umsetzen lässt?

Ralf Lautenbacher: Es gibt zwei Bereiche des Data Managements, auf die ich an dieser Stelle eingehen möchte: die Datenverwaltung sowie das Gewinnen von handlungsorientierten Erkenntnissen aus diesen Daten. Effizienz und Sicherheit bei der Verwaltung von Daten aus verschiedenen Quellen lassen sich unter anderem erreichen, wenn diese zentral erfolgen. Um aus Daten wichtige Insights über wichtige Markttrends oder Kundenbedürfnisse zu generieren, auf deren Grundlage sich schnell Entscheidungen treffen lassen, empfiehlt sich der Einsatz einer Business-Intelligence-Lösung, die alle relevanten Informationen aus dem Datenfluss zieht. In jedem Fall braucht es ein solides Sicherheitskonzept, das die Daten über ihren gesamten Lebenszyklus hinweg vor unautorisierten Zugriffen durch Cyberkriminelle schützt.

Herr Lautenbacher, vielen Dank für dieses Gespräch.


Ralf

Lautenbacher

CISO

Brainloop

Anzeige

Artikel zu diesem Thema

Datenpanne beim deutschen Legoland-Freizeitpark
Was das Ende der Homeofficepflicht wirklich bedeutet
Intel stellt alle Geschäfte in Russland ein
Δфلהไ – Sonderzeichen bereiten Probleme bei Migrationen

Weitere Artikel

CEO-Fraud & Deepfake-Angriffe: Drei präventive Schutzmaßnahmen
Was ist SIEM?
Warum NIS2 kein Compliance-Thema ist
Webouncer als patentierte Alternative zu herkömmlichen Web Application Firewall
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.