Immer mehr Unternehmen digitalisieren ihre internen Prozesse, Wertschöpfungsketten und ganze Geschäftsmodelle. Organisatorische Erleichterungen sind dabei ebenso überzeugend, wie Kosteneinsparungen. Doch mehr Digitalisierung bedeutet auch, dass mehr Informationen geschützt werden müssen. Denn Informationssicherheit umfasst im Zeitalter von New Work weit mehr als IT- und Datensicherheit.
Stattdessen geht es darum, einen ganzheitlichen Ansatz zum Schutz geschäftsrelevanter Informationen – ein Informationssicherheits-Managementsystem (ISMS) – zu implementieren, etablieren und stetig zu verbessern. Unsere Einleitung verschafft Ihnen einen Überblick und zeigt konkrete Maßnahmen auf, wie Sie Ihre Informationssicherheit auch beim mobilen Arbeiten ermöglichen.
Informationssicherheit während der Corona-Krise
Die gegenwärtige Phase der Corona-Pandemie zwingt Unternehmen neue Weg zu gehen und sich im Umgang mit digitalen Technologien zu üben. Viele Beschäftigte arbeiten von zu Hause und Meetings finden online statt. Die Digitalisierung ermöglicht es, Geschäftsprozesse aufrecht zu erhalten, jedoch birgt sie auch Risiken, die es zu beherrschen gilt. Insbesondere sind IT-Abteilungen stark gefordert, um den Spagat zwischen Sicherheit und Produktivität bestmöglich zu bewältigten.
Eine der wichtigsten Präventivmaßnahmen gegen die Ausbreitung von Covid-19 ist die soziale Distanzierung. Epidemiologische Vorsorgemaßnahmen dürfen aber nicht zu Lasten von Schutzmaßnahmen bei der Informationssicherheit gehen, gerade wenn Unternehmen unter großem zeitlichem Druck Digitalisierungslösungen implementiert haben. Dies ist in der gegenwärtigen Situation zwar nachvollziehbar, da Unternehmen völlig überraschend und ungeplant getroffen wurden. Es ist dann aber auch nur eine Frage der Zeit, bis noch andere Bedrohungen als Corona den Unternehmensalltag belasten.
Gerade während der derzeitigen Corona-Pandemie werden Schutzlücken in krimineller Weise regelrecht ausgenutzt. Hinter Dokumenten (MS Word- und PDF-Dateien, aber auch Audioaufnahmen im MP3-Format), die angeblich Informationen zum Corona-Virus enthalten, verbergen sich immer wieder schädliche Programme.
Unternehmen sollten ein vernünftiges Risikomanagement betreiben und die richtigen Maßnahmen ergreifen. Vor allem gilt es die Mitarbeiter einzubinden, da schon kleine Fehler zu massiven Folgen führen können. Gerade die derzeitige Krise wird von Angreifern ausgenutzt, welche nicht nur technologische Schwachstellen, sondern auch die Unsicherheit der Mitarbeiter zu ihrem Vorteil nutzen.
Ein vernünftig umgesetztes ISMS umfasst deswegen u.a. regelmäßige Schulungen der Mitarbeiter zu Datenschutz und Informationssicherheitssicherheit und enthält Richtlinien zum mobilen Arbeiten.
Maßnahmen zur Minimierung von Sicherheitsrisiken
Die Grundpfeiler der Informationssicherheit sind die automatisierte Aktualisierung von Soft- und Hardware, regelmäßige Backups, der Einsatz von Verschlüsselungstechniken sowie ausreichender Passwortschutz. Diese Maßnahmen helfen die drei wichtigsten Schutzziele der Informationssicherheit – Vertraulichkeit, Integrität und Verfügbarkeit – zu gewährleisten.
Um Sicherheitsrisiken zu verringern, empfehlen wir deshalb mindestens folgende Maßnahmen der Informationssicherheit in Ihrem Unternehmen einzusetzen, insbesondere wenn Mitarbeiter mobil bzw. im Home-Office arbeiten:
Nutzung von VPN-Verbindungen
Den Zugriff auf das Unternehmensnetzwerk von außen sollten Unternehmen nur über eine VPN-Verschlüsselung erlauben. Eine sichere VPN-Verbindung erreichen Sie durch den Einsatz von SSL- oder TLS-Protokollen bei der Übertragung. Welche VPN-Technologie bzw. Verschlüsselungsstärke Sie einsetzen sollten, hängt im Wesentlichen davon ab, welche Daten über die Verbindung ausgetauscht werden sollen: je sensibler die Daten, desto höher die Verschlüsselungsstärke.
Sorgen Sie dafür, dass das VPN durch neueste Sicherheitspatches immer auf dem aktuellen Stand der Technik gehalten wird. Beachten Sie zudem, dass die Bandbreite am Firmenstandort es zulässt, dass Ihre Beschäftigten in ausreichender Qualität von außen auf das Netzwerk zugreifen können.
Achtung: Über schlecht geschützte private Computer der Mitarbeiter können sich Angreifer in das VPN-Netzwerk des Unternehmens schleichen. Regeln Sie deshalb unbedingt den Einsatz privater Endgeräte (Bring your own device, BYOD) und die dafür notwendigen Sicherheitsvorkehrungen.
Regelmäßige Sicherheitschecks der IT-Umgebung
Durch ein proaktives Monitoring können Sie gewährleisten, dass Sie Ihre Server jederzeit in vollem Umfang nutzen können. Relevant ist vor allem ein zuverlässiges und konsequentes Monitoring kritischer Schwellwerte. Es kann jederzeit zu Fehlermeldungen, Warnhinweisen oder sonstigen Systemstörungen in der IT-Infrastruktur kommen und deshalb ist es wichtig, dass die Ursache der Störung schnell gefunden und beseitigt wird. Nur so können Beeinträchtigungen des Geschäftsalltags verhindert werden.
- Auch regelmäßige Sicherheitsupdates sind unerlässlich für eine gut funktionierende IT-Infrastruktur in Ihrem Unternehmen. Nicht aktualisierte Programme gelten als eine der zentralen Schwachstellen innerhalb von IT-Systemen. Auch wenn eine Vielzahl der Beschäftigten sich im Home-Office befindet, sollte unbedingt darauf geachtet, dass alle außerhalb des Unternehmens eingesetzten Programme und Geräte den aktuellen Stand an Sicherheitspatches aufweist. Für alle Systeme, einschließlich VPN und Firewalls, sollten regelmäßig Softwareupdates und Patches eingespielt werden.
- Regelmäßige Überprüfung und gegebenenfalls Anpassung von Konfigurationen, Benutzer- und Administratorenrechte.
- Ein aktives Sicherheitsvorfallmanagement sollte implementiert werden, um im Falle von Cyberattacken reagieren zu können.
Sichere Passwörter
Die Authentifizierung von Nutzern erfolgt zumeist über Passwörter. Sie sind der häufigste Zugangsschutz für Computer und Nutzerkonten. Unzureichende Passwörter erweisen sich deshalb immer wieder als unterschätztes Sicherheitsrisiko. Es gibt zahlreiche Tipps, wie Passwörter gewählt bzw. gestaltet sein sollten, damit diese ein ausreichendes Sicherheitsniveau gewährleisten können, z.B. vom Bundesamt für Sicherheit in der Informationstechnik (BSI), den Datenschutzaufsichtsbehörden oder in unserem Ratgeber. Beachten Sie jedoch mindestens Folgendes:
- Erstellung einer Passwort-Richtlinie: Dokumentierte Regelungen zur Gestaltung und Handhabung von Passwörtern, die zur Authentisierung berechtigter Benutzer eingesetzt werden. Die Richtlinie muss den Nutzern im Unternehmen zugänglich gemacht werden. Die Umsetzung sollte technisch erzwungen werden (z.B. über die Gruppenrichtlinie in Windows).
- Reaktion auf fehlerhafte Anmeldungen durch Sperrung oder zeitliche Verzögerung für weitere Anmeldeversuche. Fehlgeschlagene Anmeldeversuche sollten protokolliert werden, um mögliche Angriffsversuche zu erkennen.
- Keine unverschlüsselte Speicherung von Passwörtern. Sofern ein Passwort-Manager genutzt wird, muss der Zugang zur Passwort-Datenbank gut gesichert sein und nur ausgewählte Mitarbeiter sollten Zugriff haben.
- Neben der einfachen Anmeldung per Passwort empfiehlt sich eine Zwei-Faktor-Authentifizierung als zusätzliche Option, um eine erhöhte Sicherheit zu erreichen.
- Ein Transportpasswort darf nur zur Erstanmeldung berechtigen. Sofort nach der Erstanmeldung muss ein Passwortwechsel automatisch erzwungen werden. Voreingestellte Passwörter (z. B. im System- und Anwendungsbereich) sind sofort zu ändern.
Backups
Egal, ob die Mitarbeiter im Büro oder aus dem Home-Office arbeiten, ist dafür zu sorgen, dass die Daten verfügbar sind. Gute Backup-Lösungen sind wichtig und können darüber entscheiden, ob ein Unternehmen einen Sicherheitsvorfall ohne größere Probleme überstehen kann. Ein Backup-Konzept sollte mindestens Folgendes enthalten:
- Festlegung der Verantwortlichkeiten für die Speicherung der Daten. Sorgen Sie dafür, dass ihre Mitarbeiter wissen, an wen Sie sich im Problemfall wenden können.
- Es sollte eine eigenständige Lösung für die Speicherung gewählt werden, welche vom eigentlichen Kreislauf der IT gesondert behandelt wird. Z.B. sollte das Backup auf einem eigenen Server, externen Festplatten oder in einem externen Rechenzentrum erfolgen. Mehrere Speicherlösungen können entscheidende Vorteile im Ernstfall darstellen.
- Regelmäßige Überprüfung und Kontrolle der Speichermedien, um sicherzustellen, dass die Speicherung funktioniert und dass die Wiederherstellung aus Backups funktioniert.
Überprüfung der Clouddienste
Ob Microsoft (Office) 365, der E-Mailserver eines Drittanbieters oder die gehostete Website, eben alles was sich nicht auf den Servern des Unternehmens oder den Computern befindet, sollte regelmäßig überprüft werden:
- Können Beschäftigte remote auf die benötigten Dienste zugreifen?
- Findet eine Sicherung der Daten statt?
- Werden Content und Webangebote regelmäßig aktualisiert?
- Wurden Endbenutzer-Lizenzverträge überprüft und ggf. angepasst? Stehen ausreichende Lizenzen zur Verfügung?
- Wurden Verträge zur Auftragsverarbeitung abgeschlossen und sofern sich der Anbieter/Server außerhalb der EU bzw. des EWR befindet, gibt es Garantien zur Datenübertragung ins Drittland?
Digitale Meetings
Aufgrund der derzeitigen Kontaktverbote aber auch wegen remote-arbeitenden Beschäftigten oder Dienstleistern finden Meetings immer häufiger digital statt. Es gibt viele Tools und Pattformen, die für Telefon- oder auch Videokonferenzen eingesetzt werden können. Dabei müssen Sie sicherstellen, dass entsprechend ausreichend Lizenzen und Bandbreite verfügbar sind. Stellen Sie auch sicher, dass Sie ein Tool einsetzen, dass ausreichende Maßnahmen zum Datenschutz und Informationssicherheit bietet. Welche Anforderungen erfüllt werden sollten, haben wir in einem Ratgeber zusammengestellt.
Schulung und Sensibilisierung der Mitarbeiter
Es ist überaus wichtig, Mitarbeiter regelmäßig zu Sicherheitspraktiken zu schulen und über die Gefahren im Bereich der Informationssicherheit zu informieren bzw. dafür zu sensibilisieren. Hierzu gehört auch:
- Aufgrund der Corona-Pandemie ist es zur Zunahme von Phishing-E-Mails gekommen. Deshalb gilt:
- Nachrichten oder Anhänge unbekannter Absender dürfen nicht geöffnet werden. Bei Zweifeln ist die IT-Abteilung einzubeziehen.
- URLs und Absender-Adressen müssen wachsam überprüft und erkannt werden.
- Social-Engineering-Attacken haben zugenommen. Deswegen ist besondere Vorsicht geboten bei Inhalten mit:
- Emotionalität und Dringlichkeit
- angeblicher Exklusivität und unbekanntem Absender
- Rechtschreib- und Grammatikfehlern
- Regelmäßiger Hinweis, dass der Arbeitsrechner nicht von Familienmitgliedern genutzt wird. Werden private Arbeitsgeräte, wie Laptops und Mobiltelefone genutzt, muss ein Plan entwickelt werden, wie diese Geräte angemessen gesichert werden können.
- Vertrauliche Gespräche dürfen nur in einer angemessenen Umgebung geführt werden, um ein Mithören durch Dritte (hierzu zählen auch Familienangehörige) zu vermeiden.
- Datenschutz- und IT-Sicherheitsvorfälle sollten auch im Home-Office von den Arbeitnehmern umgehend an die entsprechenden Stellen gemeldet werden. Meldewege müssen bekannt und zugänglich sein, siehe dazu auch unsere Anleitung zum Umgang mit Datenschutz-Vorfällen.
- Beschäftigte müssen darauf achten, Passwörter vor unbefugtem Zugriff zu schützen und diese weder aufzuschreiben noch Dritten mitzuteilen. Besteht der Verdacht, dass das Passwort einer anderen Person bekannt wurde, ist es unverzüglich zu ändern.
- Beschäftigte sollten regelmäßig überprüfen, ob das Betriebssystem und die zum Einsatz kommenden Softwares aktuell sind. Updates müssen regelmäßig eingespielt werden. Außerdem sollte geprüft werden, ob der (W)LAN Router die neueste Firmware besitzt.
Zusätzlich zur Sensibilisierung ist es wichtig, dass Beschäftigte wissen, wie sie aus dem Home-Office arbeiten sollen. Eine Richtlinie zum Arbeiten im Home-Office und zum Umgang mit der IT sollten den Beschäftigten zugänglich sein.
Stellen Sie sicher, dass die Beschäftigten neue Informationen erhalten, damit diese die eingesetzten Technologien bedienen können und auf Veränderungen reagieren können. Dokumentieren Sie alle Schritte und passen Sie diese ggf. an.
Fazit: Informationssicherheit ist machbar – auch außerhalb des Büros
Informations- und Datensicherheit sind eine zentrale Voraussetzung dafür, unternehmensinterne Arbeitsprozesse zu digitalisieren und Beschäftigten das Arbeiten von überall zu ermöglichen. Hundertprozentige Sicherheit kann es dabei zwar nicht geben, es gilt aber ein möglichst hohes Informationssicherheitsniveau zu erreichen und die Schritte dafür zu dokumentieren.
Bestellen Sie jetzt einen unserer Experten als externen Informationssicherheitsbeauftragten – und wir führen Ihr Unternehmen zur erfolgreichen Zertifizierung nach ISO 27001!