Nach noch nicht einmal einem Jahr in einem neuen Job habe ich mittlerweile viel Neues erlebt und vor allem unglaublich viel kennengelernt. Daraus ergeben sich Gedanken, welche ich hier einmal teilen möchte.
Lange Zeit redete ich bei meinen vorhergehenden Arbeitgebern gegen die Wand zum Thema „Warum schützen wir unsere Daten nicht besser“. Antwort meistens: „unsere Mitarbeiter wollen uns nichts Böses“.
Gleiches Dilemma zum Thema „Warum holen wir uns keine externe Unterstützung“. Da kam das Argument „das können wir doch sicher selber“.
Nächster Punkt war dann „ich brauche mal eine Schulung zum Thema XYZ“. Antwort dazu „Frag einen Kollegen am anderen Standort oder Kauf ein Buch“.
Fatale Ansicht wie ich heute weiß und dahingehend rehabilitiert bin, dass ich als Sicherheitsexperte bei Kunden bestellt werde zur Umsetzung IT-Grundschutzrelevanter Themen. Kunden, die genau dieses Verstanden haben und sensibel damit umgehen.
Einige Fallbeispiele; zwar Theorie doch Praxisnah und somit relevant:
- Ein Unternehmen, in welchen USB-Datenspeicher unkontrolliert an den PC’s und Notebooks benutzt werden:
- Wer garantiert, dass der Buchhaltungsmitarbeiter sich nicht die Lohnabrechnungstabelle mal eben in Excel mit nach Hause nimmt?
- Wer garantiert, das der Mitarbeiter einen USB-Stick daheim an Ungeschützte PC’s ansteckt und dann im Unternehmen diesen ebenfalls benutzt und somit die Firma gefährdet?
- Ein Unternehmen, welches keinen Internetfilter einsetzt:
- Wer möchte die Haftung übernehmen, wenn ein U18-Azubi auf einer Sexwebsite surft und damit der Jugendschutz greift?
- Wer möchte zulassen, dass Mitarbeiter fragwürdige Webforen besucht und Sie Probleme mit dem Verfassungsschutz bekommen?
- Wer garantiert, dass keine Urheberrechtspiraterie über das Firmennetzwerk erfolgt (Videos, Musik)?
- Ein Unternehmen, welches zulässt das Praktikanten unkontrollierbare Dateioperationen unternehmen:
- Wer garantiert, dass die Unternehmensdaten nicht an dritte weitergegeben werden?
- Wer hat die Übersicht, welche Daten von Praktikanten wohin kopiert werden (Cloudspeicher z.B.)?
- Ein Unternehmen, welches WLAN-Verbindungen nicht reglementiert:
- Wer garantiert, dass ein technisch versierter Anwender mit seinem Handy kein Bridging per Handy betreibt und Ihre Passwörter etc. snifft?
Es sind Fallbeispiele. Doch sie sind real. Und durch die zunehmenden Attacken aus dem Netz steigt die Gefahr. Terrorismus 2.0 sind keine Bomben, Waffen oder Selbstmordattentäter. Nein; es sind die Gefahren durch IT-Angriffe auf unseren Alltag.
Legte man bis vor kurzen noch das Stromnetz per physischer Attacke lahm befeuert man heute Webserver und bringt diese zu Zusammenbruch. Oder man verschlüsselt Daten per Trojaner und erpresst Lösegeld um diese wieder zu nutzen. Ohne Bastelkammer und teueres Equipment; einfach aus dem Wohnzimmer von der Couch heraus. Am besten noch von YOUTUBE angeleitet.
Doch nach dem Motto „Denk mal darüber nach“ erschließen sich andere Lösungen! Hier mal meine ganz eigenen dazu:
- Nutze Hilfe von außen. Du kannst nicht alles können und beherrschen.
- Vertraue deinen Partnern, denn IT-Orakel sind ausgestorben. Gab es sie überhaupt?
- Investitionen in Sicherheit sind Investments in Zukunft (d)einer Firma.
- Kostenlos mag jeder, doch niemand kann kostenlos!
- Mehrwerte schaffen Nutzwerte! IT-Lösungen wachsen mit deren Nutzung & Anwendung!
- Weiterbildung sollte professionell sein; die Themen für ein Selbststudium müssen erst einmal bekannt sein um sie zu verstehen und sich damit auseinanderzusetzen.
- Zeit in ordentliche Dokumentation und Investitionen in diese sparen Kosten bei IT-Problemen durch z.B. den Abgang von IT-Mitarbeitern.
- Stärkung der Akzeptanz von IT-Personal ist unbedingt ein „Big-Point“ in deren Motivation. Der Administrator ist kein Feind. Leider und immer noch ein tägliches Drama in den Firmen…
- Einbeziehung der IT in Geschäftsprozesse von Anfang an. Es geht gar nicht mehr anders in der heutigen Zeit.
Damit möchte ich diesen BLOG-Beitrag hier abschließen und freue mich auf eine hoffentlich rege und sachliche Diskussion dazu. Und klar, für manches ich auch Lösungen in der Hinterhand.