Praktikable Policies

IT-Sicherheit darf Mitarbeiter nicht nerven



Simon Hülsbömer betreut als Senior Research Manager Studienprojekte in der Marktforschung von CIO, CSO und COMPUTERWOCHE. Zuvor entwickelte er Executive-Weiterbildungen und war rund zehn Jahre lang als (leitender) Redakteur tätig. Hier zeichnete er u.a. für die Themen IT-Sicherheit und Datenschutz verantwortlich.
Warum funktioniert Ransomware so gut? Warum schaffen es viele Unternehmen immer noch nicht, sich angemessen zu schützen? Antworten gibt Informatikprofessor Roland Hellmann.
  • Auch Smartphones, Drucker, Router, IP-Cams sowie Produktionsanlagen, Messgeräte und Ähnliches können Sicherheitslücken aufweisen.
  • IT-Sicherheit darf Beschäftigte nicht gängeln oder stark einschränken. Deswegen müssen Policies praktikabel umsetzbar sein.
  • Auch Produktentwickler sollten sich mit IT-Sicherheit gut auskennen und IT-Security schon in den ersten Entwürfen eines neuen Produkts berücksichtigen.

CIO.de: Herr Professor Hellmann, warum konnten große Ransomware-Attacken wie WannaCry oder Petya so gut funktionieren?

Roland Hellmann: Erreger breiten sich in Monokulturen besonders gut aus, und das ist bei Schadsoftware ganz ähnlich. Weil viele das gleiche Betriebssystem in derselben Version verwenden, kann man Schadsoftware gut darauf zuschneiden und den Computer erfolgreich infizieren. Das gilt umso mehr, wenn eine ausgenutzte Sicherheitslücke noch nicht allgemein bekannt ist (ein sogenannter Zero-Day-Exploit) oder wenn Sicherheits-Updates nicht zeitnah eingespielt werden.

"Damit im Unternehmen IT-Sicherheit gelebt wird, müssen möglichst viele Mitarbeiter mitdenken und sich dafür verantwortlich fühlen. Das gelingt nur, wenn ein bestimmtes Grundwissen und eine Mindest-Awareness vorhanden sind", sagt Roland Hellmann, Professoer für Informatik an der Hochschule Aalen.
"Damit im Unternehmen IT-Sicherheit gelebt wird, müssen möglichst viele Mitarbeiter mitdenken und sich dafür verantwortlich fühlen. Das gelingt nur, wenn ein bestimmtes Grundwissen und eine Mindest-Awareness vorhanden sind", sagt Roland Hellmann, Professoer für Informatik an der Hochschule Aalen.
Foto: Hellmann

Roland Hellmann studierte an der TU München Elektrotechnik und Informationstechnik. Seit dem Jahr 2000 ist er als Professor für Informatik an der Hochschule Aalen tätig, wo er am Aufbau der Bachelor- und Masterstudienangebote im Bereich der IT-Sicherheit mitwirkte. Dort lehrt und forscht er auf den Gebieten Netzwerksicherheit und Sicherheit von Mobilgeräten. Ferner verfügt er über langjährige Erfahrung in der Unternehmensberatung im Bereich IT-Sicherheit und als Auditor.

Hinzu kommt, dass viele Benutzer leichtfertig auf Anhänge und Links in E-Mails klicken, sei es aus Neugier oder weil sie tatsächlich meinen, sie bekämen eine Mahnung von einem Unternehmen, bei dem sie gar nichts bestellt haben. Unter Umständen reicht ein einziger leichtsinniger Benutzer, um ein ganzes Unternehmensnetz zu infizieren. Das zeigt, wie wichtig es ist, Benutzer zu schulen und eine unternehmensweite Awareness in Bezug auf IT-Sicherheit zu erreichen.

CIO.de: Ein weiteres Problemfeld für die Sicherheit ist die zunehmende Gerätevernetzung im Internet der Dinge. Was bedeutet sie für die IT-Security-Landschaft im Unternehmen?

Roland Hellmann: Zwar sind die erwähnten Monokulturen nicht gut, aber wenn wir sehr viele unterschiedliche Arten von Geräten im Unternehmen einsetzen, dann bringt auch das Pro­bleme mit sich. Es wird immer schwieriger, noch den Überblick zu behalten und alles sicher genug zu bekommen. Nicht nur Computer, sondern auch Smartphones, Drucker, Router, IP-Cams und sicher auch Produk­tions­anlagen, Messgeräte und Ähnliches können Sicherheitslücken aufweisen.

Es wurden bereits Botnetze entdeckt, die aus Zigtausenden solcher Geräte bestanden. Ein großer Teil davon waren schlecht geschützte IP-Cams. Denken wir nur daran, welcher Schaden entstehen kann, wenn sensible, kameraüberwachte Bereiche von Unbekannten jederzeit eingesehen werden können und damit vielleicht auch Pin-Eingaben, noch in der Entwicklung befindliche Produkte oder Ähnliches.

CIO.de: Was macht eine gute Security-Guideline in einem Unternehmen aus?

Roland Hellmann: Einerseits will man das Sicherheitsniveau auf ein hohes Level bringen und dort halten. Andererseits bewirken unrealistische Vorgaben, dass findige Mitarbeiter die Sicherheitsmaßnahmen umgehen wollen, und meistens gelingt das einigen.

Auch kann man die IT-Sicherheit eigentlich nur mit den Mitarbeitern und nicht gegen sie wirklich verbessern. Die IT-Sicherheit darf nicht etwas sein, was die Beschäftigten ständig nervt, gängelt oder stark einschränkt. Deswegen ist es wichtig, dass Policies praktikabel umsetzbar sind und dass man dazu die Mitarbeiter ins Boot holt. Wer versteht, warum er etwas so und nicht anders machen sollte, wird sich eher daran halten, als wenn er nur eine abstrakte Vorgabe von oben erhält, die er nicht nachvollziehen kann.

CIO.de: Warum ist IT- und Cyber-Sicherheit Chefsache?

Roland Hellmann: Wenn die Geschäftsführung nicht dahinter steht, werden sich die Mitarbeiter nicht motiviert fühlen, bequeme, aber unsichere Abläufe und Gegebenheiten durch bessere zu ersetzen. Auch die für IT-SicherheitIT-Sicherheit Zuständigen benötigen einen gewissen Rückhalt, um Regeln zu erstellen und durchzusetzen. Alles zu Security auf CIO.de

CIO.de: Warum sollten sich besonders auch Nicht-Security-­Experten in Sachen Cyber- und IT-Sicherheit weiter­bilden?

Roland Hellmann: Es gibt nicht so viele IT-Security-Spezialisten, wie gebraucht würden, und die sind obendrein recht teuer und können nicht dauernd vor Ort sein. Damit im Unternehmen IT-Sicherheit gelebt wird, müssen möglichst viele Mitarbeiter mitdenken und sich dafür verantwortlich fühlen. Das gelingt nur, wenn ein bestimmtes Grundwissen und eine Mindest-Awareness vorhanden sind. Oft kann man schon durch Beachtung einiger Grundregeln das Sicherheitsniveau deutlich verbessern - wenn man sie denn kennt und konsequent und flächendeckend umsetzt.

In Bereichen wie IT und Softwareentwicklung hat praktisch jeder mit Sicherheitsaspekten zu tun, so dass ein entsprechendes, auch schon tiefer gehendes Grundwissen unerlässlich ist. Das wurde über viele Jahre hinweg nur unzureichend oder gar nicht in der Ausbildung vermittelt und fehlt daher vielen Mitarbeitern.

Wenn ein Unternehmen Produkte entwickelt, die durch ihre Sicherheitslücken Schlagzeilen machen, kann das einen großen Verlust an Kundenvertrauen bedeuten und damit beträchtliche Umsatzeinbußen nach sich ziehen. Sicherheit später nachzurüsten ist oft schwierig. Besser, die Produktentwickler kennen sich mit IT-Sicherheit gut aus und berücksichtigen sie bereits in den ersten Entwürfen eines neuen Produkts.

Executive Education | Security-Seminar

Am 7. und 8. März 2018 veranstalten CIO, COMPUTERWOCHE und Fraunhofer AISEC zusammen ein IT-Führungskräfte-Seminar zu aktuellen Themen im Bereich IT- und Cybersecurity.

Wenn Sie dabei sein möchten, melden Sie sich über die Website www.idg-executive-education.de an.

Zur Startseite