Ziel des Artikels
Ihr StartUp arbeitet an neuen technologischen Erfindungen und Ihre geheimen Daten werden gestohlen. Merken Sie das überhaupt, bevor Sie Ihr Produkt bei der Konkurrenz sehen? Oder Sie führen ein Unternehmen, das sensible Daten entsprechend Artikel 9 der DS-GVO verarbeitet, zum Beispiel im Medizin- oder Finanzbereich. Eines Tages lesen Sie, dass hunderttausende Datensätze Ihres Unternehmens mit sensiblen Daten Ihrer Kunden geleakt worden sind. Wie geht es Ihnen jetzt damit?
Eines ist sicher: Daten müssen geschützt werden!
Vishal Salvi beschreibt in seinem Artikel „Künstliche Intelligenz ist die Zukunft der IT-Sicherheit“ die Problematik sehr deutlich: „Cyber Angriffe werden immer komplexer, so dass selbst technologiebasierte Cyber-Sicherheitspraktiken nicht ausreichen (…)“. Eine Lösung sieht er im Bereich der künstlichen Intelligenz: „Künstliche Intelligenz (KI) und Machine Learning (ML) bieten eine Reihe von Vorteilen gegenüber traditionellen Methoden für Cyber-Security-Tracking. Sie tragen nicht nur dazu bei, Anomalien schneller zu entdecken, sondern auch Risikobereiche vorherzusagen und so einen robusten Cybersicherheitsplan zu untermauern.“1.
Der Autor hat sicher Recht, wenn er schreibt, dass die in seinem Artikel beschriebenen Verfahren einen äußerst wichtigen Beitrag leisten. Allerdings ist es lohnenswert, sich zusätzlich außerhalb technischer Verfahren und den Risiken von Social Hacking auch Gedanken über die physische und umgebungsbezogene Sicherheit zu machen.
Die Komplexität steigt, aber manchmal ist es ganz einfach
Wie ernst das Thema ist, sehen wir sehr gut illustriert bei „information is beautiful“. Selbst die Big Player werden gehackt und Millionen von Daten wurden bereits veröffentlicht2.
Jetzt stellen Sie sich vor, Sie haben die besten Schutztechnologien im Einsatz, Firewalls, Intrusion Detection Systeme und nutzen Services wie SIEM oder SOAR3. Sie fühlen sich bestens abgesichert. Neben der IT-Sicherheit sind Ihnen auch Ihre Mitarbeiterinnen und Mitarbeiter sehr wichtig. Aufgrund der Corona Pandemie möchten Sie Ihre Mitarbeiter als wichtigste Ressource schützen und haben ihnen Homeoffice ermöglicht. Kennen Sie die Bedingungen im Homeoffice und wissen Sie, was gerade in Ihrem Unternehmen passiert?
Ein Entwickler Ihres Unternehmens könnte im Homeoffice arbeiten und muss einem natürlichen Bedürfnis nachgehen. Natürlich sperrt er seinen Bildschirm nicht, weil er sich zu Hause sicher fühlt. Zufällig kommt der Freund des Sohnes am Rechner vorbei und findet es gerade sehr spannend, was er auf dem Bildschirm sieht. Er könnte mit seinem Smartphone den Bildschirm abfotografieren und so sehr sensible Daten weiterleiten.
Gleichzeitig sind in Ihrem Unternehmen deutlich weniger Mitarbeiter und Mitarbeiterinnen vor Ort. Wer kontrolliert in Ihrem Unternehmen z. B. Besucher und Lieferanten? Ich habe sehr oft als Besucher die Erfahrung gemacht, dass es sehr einfach wäre, an Informationen zu kommen. Selbst wenn Sie an einem Empfang gebeten werden, zu warten. Fragen Sie nach einer Toilette. Sie werden freundlich Auskunft erhalten und können sich unbegleitet durch das Unternehmen bewegen. Vielleicht können Sie keinen Zugang zu einem Serverraum erhalten. Aber ein Blick auf einen Bildschirm, der Griff in einen Papierkorb oder liegen gebliebene Unterlagen in einem Abteilungsdrucker können eine Kundenliste oder andere spannende Daten beinhalten. Und sehr oft werden Sie feststellen, dass Mitarbeiter Sie nicht ansprechen. Das glauben Sie nicht?
Die Bitkom schreibt in ihrem Artikel „Angriffsziel deutsche Wirtschaft: mehr als 100 Milliarden Euro Schaden pro Jahr“ folgendes: "Es wird aber nach wie vor noch oft analog angegriffen. Bei einem Drittel der Unternehmen (32 Prozent) wurden IT- oder Telekommunikationsgeräte entwendet, sensible physische Dokumente, Maschinen oder Bauteile wurden bei jedem Sechsten gestohlen."4.
Bedeutung der physischen und umgebungsbezogenen Sicherheit
Die Bedeutung der physischen und umgebungsbezogenen Sicherheit ist sehr hoch. Nicht umsonst ist sie ein wichtiger Bestandteil der ISO 27001. Im Anhang finden wir entsprechende Maßnahmen unter der Überschrift „A.11 Physische und umgebungsbezogene Sicherheit“5.
Die Norm geht davon aus, dass überall im Unternehmen Assets wie Informationswerte und notwendige Betriebsmittel physisch vorhanden sind. Daher ist es wichtig, „den physischen Zugang zu den dort vorhandenen Assets sowie andere schädigende Einflüsse aus der Umgebung unter Kontrolle zu halten und die eingesetzten Betriebsmittel zu schützen“6.
Im Wesentlichen geht es darum, Zugänge zu Gebäuden und Räumen und Zugriffe auf Assets zu kontrollieren und zu schützen. Auch Schutz vor Zerstörung beispielsweise durch Naturkatastrophen ist ein Bestandteil.
Aber nicht nur Firmengebäude sind zu schützen. Wenn ein Mitarbeiter mit seinem Firmenwagen unterwegs kurz an einer Raststätte hält und sein Laptop oder ein USB-Stick auf dem Beifahrersitz unbeaufsichtigt liegt, kann dies eine Einladung für einen spontanen Diebstahl und mit dem Verlust wertvoller Daten verbunden sein. Die Empfehlung „Do not leave equipment or media unattended (for example leaving a USB stick or laptop in car);“7 gehört zum Control A.11.2.6 – Sicherheit von Geräten, Betriebsmitteln und Werten außerhalb der Räumlichkeiten8.
Zusammenfassung und Ausblick
Gelegentlich bekommt man den Eindruck, dass sehr viel Geld und Energie in technische Verfahren investiert werden, um die IT-Sicherheit zu erhöhen. Aber IT-Sicherheit ist nur ein Teil des Ganzen, sie ist nur die halbe Wahrheit. Es geht um Informationssicherheit, die deutlich über technische Maßnahmen hinaus geht. Einen Laptop oder Datenträger wegzusperren oder Zugänge zu Gebäuden und Räumen abzusichern sind grundsätzlich simpel. Die Risiken und möglichen Schäden, die aus fehlenden Maßnahmen resultieren, können enorm sein.
Aufgrund der Corona Pandemie und der deutlichen Zunahme von Homeoffice hat sich diese Problematik noch immens erhöht. Nach aktuellem Stand scheint die Nutzung von Homeoffice weiter bestehen zu bleiben. Viele Unternehmen sehen bereits auch Kostenvorteile im Homeoffice.
Mitarbeiterinnen und Mitarbeitern fehlt allerdings oft das Bewusstsein und das Wissen zur Informationssicherheit. Darüber hinaus hat der Arbeitgeber keine vollumfänglichen Möglichkeiten, die Bedingungen im Homeoffice zu kontrollieren. Hier ist es wichtig, mit Sensibilisierungsmaßnahmen, Aufklärung und ergänzend technischen Möglichkeiten die Sicherheit
zum Datenschutz und Informationssicherheit zu erhöhen, um Risiken zu reduzieren und Schäden für das Unternehmen und weitere Betroffene möglichst zu vermeiden. Die Kosteneinsparungen, die ein Homeoffice vermeintlich bietet, stehen in keinem Verhältnis zu den Schäden, die ohne weitere Schutzmaßnahmen entstehen können. Warten Sie nicht, bis Sie z. B. einen Datenschutzverstoß an die Aufsichtsbehörde melden müssen oder ihre Unternehmensgeheimnisse gestohlen werden. Handeln Sie lieber jetzt.
Quellen
1„Künstliche Intelligenz ist die Zukunft der IT-Sicherheit“, https://www.security-insider.de/kuenstliche-intelligenz-ist-die-zukunft-der-it-sicherheit-a-897210/.
2Beautiful, „World’s Biggest Data Breaches & Hacks“, https://informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/.
3Swimlane, „What Is SIEM?“, https://swimlane.com/blog/siem-soar/.
4Bitkom: „Angriffsziel deutsche Wirtschaft“, https://www.bitkom.org/Presse/Presseinformation/Angriffsziel-deutsche-Wirtschaft-mehr-100-Milliarden-Euro-Schaden-pro-Jahr.
5„DIN EN ISO / IEC 27001:2017-06 - Informationstechnik - Sicherheitsverfahren - Informationssicherheitsmanagementsysteme - Anforderungen“, S. 22.
6Kersten u. a., IT-Sicherheitsmanagement nach der neuen ISO 27001, S. 138.
7Hintzbergen, Foundations of Information Security, S. 93.
8Kersten u. a., IT-Sicherheitsmanagement nach der neuen ISO 27001, S. 147.