Seit Jahren klagen die Unternehmen in Deutschland über Fachkräftemangel. Vielleicht haben auch Sie die Erfahrung gemacht, dass sich selbst Firmen mit gutem Namen schwer tun, die passenden Fachleute und Berufseinsteiger an den Standort zu bekommen oder dort zu halten, vor allem wenn dieser außerhalb der Ballungsräume liegt und keinen Autobahnanschluss vor der Tür hat. Solche Standortnachteile versuchen viele Arbeitgeber auszugleichen, indem sie die Digital Natives, die mit den Technologien des digitalen Zeitalters aufgewachsen sind, bei ihren Arbeits- und Kommunikationsgewohnheiten abholen und den Mitarbeitern erlauben, alles an Kollaborations- und Kommunikations-Anwendungen und alles an mobilen Geräten zu benutzen, was der Markt so hergibt.
Allerdings übersehen viele Unternehmen die Gefahren, die damit zusammenhängen. Alle Geräte, die mit dem Unternehmensnetz verbunden werden, müssen dabei als Endpoints betrachtet werden: Smartphones, Tablets, Laptops, Server, USB-Sticks. Durch ihre wachsende Zahl wird die IT-Infrastruktur zunehmend komplexer, das macht die Daten zunehmend angreifbar und schwieriger zu schützen. Zudem nimmt die Bedrohung durch die eigenen Mitarbeiter zu, die sensible Daten weiterleiten oder teilen, ohne mögliche Folgen zu bedenken. Da Datenlecks oder der Verlust vertraulicher Informationen ein Unternehmen in die Knie zwingen können, sollten Unternehmen diese vier Fehler unbedingt vermeiden:
- Den Faktor Mensch unterschätzen
Dass die IT-Abteilung menschliche Unzulänglichkeiten und Fehler unterschätzt, dürfte in vielen Unternehmen an der Tagesordnung sein. Sie ist stark darauf fokussiert, Bedrohungen von außen als Bedrohungen wahrzunehmen und dafür zu sorgen, dass Ransomware und Hacker nicht ins Firmennetz gelangen. Interne Bedrohungen geraten ins Hintertreffen und reißen Lücken in die Absicherung der Daten. Problematische Angewohnheiten der Mitarbeiter, wie private mobile Geräte für die Arbeit einzusetzen, nicht freigegebene Anwendungen zu benutzen, Sicherheitsrichtlinien zu umgehen und Richtlinien für den Umgang mit sensiblen Daten zu missachten, werden, wenn sie denn überhaupt auffallen, nicht angesprochen und schleifen sich immer mehr ein. Deshalb sollten die Tools und Anwendungen, die die Angestellten für ihre Arbeit einsetzen, mit derselben Aufmerksamkeit beobachtet und behandelt werden wie die externen Bedrohungen und bei der Auswahl von Sicherheitslösungen entsprechend berücksichtigt werden.
- Die Verantwortung für die Datensicherheit an die IT-Abteilung abgeben
Der Stellenwert, den die Unternehmensleitung dem Thema IT-Sicherheit beimisst, hat ganz erheblichen Einfluss auf den Erfolg bei der Absicherung und dem Schutz der Daten. Viele Unternehmen sehen nicht, dass IT-Sicherheit und Datenschutz nicht dann und wann eine Hau-Ruck-Aktion erfordern, sondern als Prozesse fortlaufend beobachtet und an sich ändernde Rahmenbedingungen angepasst werden müssen. Sie geben die Verantwortung für die Datensicherheit an die IT-Abteilung ab, statt sie sie als Unternehmensziele zu formulieren und mit Budgets auszustatten, die die IT-Abteilung handlungsfähig machen.
Manche Firmen investieren hohe Summen in die Security, aber sie steuern sie nicht. Sie beschaffen jede Menge Sicherheitslösungen, dann soll die IT-Abteilung herausfinden, was mit ihnen erreicht werden soll und wie sie eingesetzt werden können. Aber wer das Ziel nicht kennt, findet den Weg nicht.
- Halbherzig mit Sicherheitslösungen umgehen
Die Zeiten, als Malware die größte Bedrohung darstellte, sind vorbei. Die Bedrohungen haben sich geändert, und mit ihnen auch die Sicherheitslösungen. Viele Unternehmen beschaffen nicht nur keine zusätzlichen Lösungen für neue Bedrohungen, sondern hören irgendwann auf, die vorhandenen an die veränderten Bedrohungen anzupassen und auf dem aktuellen Stand zu halten. Damit verzichten sie auf Funktionen, die die Anbieter für die Abwehr der neuen Bedrohungen zur Verfügung stellen. Diese Halbherzigkeit ist in der Regel schlimmer für die IT-Sicherheit, als nicht alle Bedrohungen zu berücksichtigen.
Ein klassischer Fehler bei der Datenverlust-Prävention ist, eine Lösung für Data Loss Prevention anzuschaffen und es dann bei den Richtlinien an Sorgfalt fehlen zu lassen: Daten nicht zutreffend zu klassifizieren, Berechtigungen und Ausnahmen falsch zuzuordnen, Gruppen nicht eindeutig zu definieren. Am einfachsten lassen sich Fehler beim Aufsetzen der Policies in Netzwerken machen, in denen alle Rechner denselben Namen haben, selbst wenn sie ausschließlich über ihre IP- oder MAC-Adresse angesprochen werden.
- Compliance und Sicherheit gleichsetzen
Zu den sensiblen Informationen im Unternehmen gehören personenbezogene Daten, Konto- und Kreditkartennummern, Betriebs- und Geschäftsgeheimnisse und weiteres. In den vergangenen Jahren hat die Entwicklung von Regeln und Vorschriften, mit denen die Umsetzung von Datenschutz messbar und nachvollziehbar gemacht und vereinheitlicht werden soll, deutliche Fortschritte gemacht. Unternehmen müssen nachweisen, dass sie die Vorgaben von Verordnungen wie dem Health Insurance Portability and Accountability Act (HIPAA) für den Schutz von Patientendaten, dem Payment Card Industry Data Security Standard (PCI-DSS) im Zahlungsverkehr und künftig auch der Europäischen Datenschutz-Grundverordnung (DSGVO) einhalten, um Geldstrafen und Bußgelder zu vermeiden. Manche machen den Fehler, die Sicherheitslösungen zwar anzuschaffen, sie aber dann als Shelfware zu benutzen. Bei Varianten der Regallösung wird die Software erst im Fall eines bevorstehenden Audits installiert oder die Nutzung wird auf die Basisfunktionen beschränkt. Damit ist man beim Audit zwar auf der sicheren Seite, verbessert aber die Sicherheit nicht grundlegend.
Manchmal sollten Unternehmen innehalten und sich über Fehler und Versäumnisse klar werden, bevor sie ihre nächsten Schritte planen und ihre Datenschutz-Maßnahmen neu ordnen. Zunächst sollten sie die Möglichkeit menschlicher Fehler höher bewerten und alle Mitarbeiter zu Fragen des Datenschutzes schulen. Dann sollten sie Datenschutz zum Anliegen des gesamten Unternehmens machen. Und zuletzt sollten sie Datenschutz ernst nehmen und bedenken, dass Compliance nicht mit Sicherheit gleichzusetzen ist.