Von Innen nach Außen – oder von Außen nach Innen

Wenn es um IT-Sicherheit geht, denken wir meist an externe Hacker und Cyberkriminelle, die sich ihren Weg in das Netzwerk einer Firma bahnen, um Informationen zu stehlen. Clearswift hat eine Untersuchung in Auftrag gegeben, die Sicherheitsvorfälle ganzheitlich betrachtet und zu dem Schluß kommt, dass 83 Prozent der befragten Unternehmen in den letzten 12 Monaten Sicherheitsvorfälle zu beklagen hatten. Doch entgegen dem Fokus der Ausgaben für die IT-Sicherheit, kommen 58 Prozent der Vorfälle von innerhalb der Unternehmen, und nicht von böswilligen Externen – die Schuldigen sind dabei Mitarbeiter, Ex-Mitarbeiter und vertrauenswürdige Partner: Menschen wie Sie und ich.

Die Untersuchung zeigte auch, dass es für 72 Prozent der Firmen schwer ist, mit den laufenden Veränderungen der Bedrohungslandschaft Schritt zu halten und die entsprechenden Richtlinien für die heutige Geschäftskommunikation anzupassen. Eine der wichtigsten Veränderungen sowohl für den Firmenalltag als auch im Hinblick auf die Sicherheitsrisiken ist „Bring Your Own Device“ (BYOD).

Die drei wichtigsten BYOD-Gefahren sind:

1) Mitarbeiter, die USB-Geräte oder eigene Speichermedien nutzen
2) Versehentliche Fehler der Mitarbeiter
3) Mitarbeiter, die arbeitsrelevante E-Mails über private E-Mail-Konten versenden

Natürlich ist es nicht gerecht, die Schuld für diese Sicherheitsrisiken nur den Mitarbeitern zu geben, wenn diese sogar ermutigt (oder zumindest nicht entmutigt) werden, BYOD anzuwenden. Ungefähr ein Drittel (31 Prozent) der Firmen verwaltet BYOD proaktiv, während  11 Prozent diese Praxis komplett ablehnen. Die Firmen, die BYOD ablehnen, werden allerdings öfter von internen Sicherheitsbedrohungen geplagt (37 Prozent gegenüber 18 Prozent bei den Firmen, die BYOD proaktiv verwalten). In der Umfrage sagten 53 Prozent, das die Mitarbeiter eigene Geräte im Firmennetzwerk nutzen, egal, ob dies erlaubt ist oder nicht. Die Firmen stehen also in der Pflicht, sich um die Nutzung privater Geräte zu kümmern, anstatt den Kopf in den Sand zu stecken und zu glauben, dass schon kein Mitarbeiter ein privates Gerät für seine Arbeit verwendet.

Was ist also zu tun? Firmen müssen erkennen, dass interne Bedrohungen zumindest genau so wichtig sind, wie externe, und sollten ihre Security-Ausgaben entsprechend planen. In Bezug auf BYOD müssen so schnell wie möglich umfangreiche Richtlinien eingeführt werden. Es sollten Schulungen oder eine Sensibilisierungskampagne durchgeführt werden – für Anwender und Mitarbeiter gleichermaßen, zur Aufklärung über die BYOD-Risken und wie diese umgangen werden können. Dann können Mitarbeiter private Geräte sicher nutzen.

Wenn Ihr Unternehmen noch keine BYOD-Regeln festgelegt hat, können Sie als Mitarbeiter sich an folgende Empfehlungen halten:

1. Bringen Sie Ihren Arbeitgeber (und sich selbst) nicht in Gefahr, indem Sie private Geräte zur Verarbeitung von Firmendaten nutzen, ohne vorher mit einem System-Administrator oder Sicherheitsverantwortlichen gesprochen zu haben. Nicht einmal private USB-Sticks sollten Sie einfach so für die Arbeit verwenden.
2. Wenn Sie einen USB-Stick verwenden müssen, nutzen Sie einen mit Verschlüsselung – am besten einen, den Ihre Firma empfiehlt. Hier stehen viele Varianten zur Auswahl, die nicht so viel teurer sind als unverschlüsselte Sticks. Mit 20 Euro mehr können Sie ganz einfach sich und Ihre Firma vor Datendiebstahl und Image-Schaden bewahren.
3. Das gleiche gilt für private E-Mail-Konten. Wenn Sie unbedingt private E-Mails für Ihre Arbeit nutzen müssen (zum Beispiel, wenn Ihr Firmen-Mail-System gerade streikt), richten Sie dafür am besten ein Extra-Konto mit maximalen Sicherheitseinstellung  ein (zum Beispiel ein Gmail-Konto mit eingeschalteter Zwei-Faktoren-Authentifizierung).
4. Verschicken Sie Dokumente grundsätzlich in verschlüsselter Form. Dafür gibt es viele Möglichkeiten, etwa den Passwortschutz bei MS-Office-Dokumenten oder ZIP-Dateien mit einem starken Passwort. Natürlich dürfen Sie die entsprechenden Passwörter nicht in der gleichen E-Mail versenden – rufen Sie den Emfpänger am besten an und sagen Sie ihm das Passwort direkt.
5. Richten Sie Ihr Firmen-E-Mail-Konto nicht auf einem privaten Gerät ein, ohne vorher mit dem System-Administrator gesprochen zu haben. Denn es gibt spezielle geschützte Clients, über die Sie dies geschützt tun können.