Security Awareness: Warum Sie jetzt Ihr Team schulen sollten
IT-Security-Maßnahmen und Technik alleine reichen zur Wahrung der Informationssicherheit nicht aus. Gerade jetzt ist es wichtig, die Mitarbeiter*innen zu den Themen Datenschutz, Informationssicherheit sowie IT-Sicherheit zu sensibilisieren und zu schulen.
IT-Sicherheit – (Un)Sicherheitsfaktor Mensch
Der Mensch arbeitet mit Tools, wendet sie an und ist Teil des Systems. Dabei gilt er häufig als einer der Schwachstellen für die Informationssicherheit. Es ist daher besonders wichtig, Wissen aufzubauen. Sorgen Sie dafür, dass Ihre eigenen Mitarbeiter*innen als Sicherheitssensoren fungieren.
Schutzziele von Informationssicherheit
Folgende primäre Schutzziele sind für die Informationssicherheit in Ihrem Unternehmen wesentlich:
- Verfügbarkeit
Die notwendigen Informationen und Daten müssen zur rechten Zeit am rechten Ort sein. In unserer aktuellen vorherrschenden Situation des Arbeiten im Homeoffice heißt das: Haben wir Zugang zu allen Informationen, die wir zum Arbeiten brauchen? - Vertraulichkeit
Haben wirklich nur jene Personen Zugriff, die die Informationen benötigen? Gerade jetzt in Zeiten von Corona arbeiten viele zu Hause. Vertraulichkeit sowie Datenschutz sind höchst sensible Themen, die nicht nur klare Vorgaben und Richtlinien bedürfen, sondern auch Schulung der Mitarbeiter*innen. - Integrität
Die Informationen müssen unverfälscht sowie nachvollziehbar sein.
Ziel dabei ist es, vor Gefahren und Bedrohungen zu schützen, um wirtschaftliche Schäden zu verhindern.
Was ist Informationssicherheit?
Informationssicherheit bietet Schutz von technischen sowie nicht-technischen Systemen. Was oft vergessen wird: auch alle Papierakten sind hier mit einbezogen. Virenschutz, Firewalls und weitere wichtige Securitymaßnahmen stehen meist im Mittelpunkt –das ist aber nur ein Teil der Informationssicherheit.
Die IT-Sicherheit schützt die digitalen Daten und die technischen Systeme. Es gibt noch zwei weitere Teilbereiche der Informationssicherheit: Beim Thema Datenschutz geht es um den Schutz der personenbezogenen Daten. Durch in Kraft treten der DSGVO im Mai 2018 gibt es hierfür bereits eine starke Sensibilisierung. Gut so, denn gerade jetzt brauchen wir das Wissen und den geübten Umgang mit den Daten in unseren Homeoffices. Der 3. Teilbereich betrifft die Datensicherheit und somit die Unternehmensdaten.
Und wenn wir uns jetzt das Thema der Informationssicherheit konkret ansehen, gibt es aufgrund von „Plötzlich Homeoffice“ beispielsweise folgende Problemfelder:
- Obwohl teilweise per Teleworking bereits gearbeitet wurde, gab es in manchen Fällen keine völlig einwandfrei funktionierende IT-Infrastruktur. Denn plötzlich wurden nicht nur Notebooks und Zugriffsberechtigungen gebraucht, sondern auch Videocams sowie Headsets, um ausschließlich virtuell produktiv zusammenarbeiten zu können. So waren beispielsweise die benötigten Kollaborations-Tools weder ausgewählt noch installiert.
- Zum Teil arbeiten die Mitarbeiter*innen auf den privaten Computern und erledigen ihre beruflichen Telefonate mit den privaten Smartphones – das Prinzip Bring your own device braucht klare Regeln.
- Bisherige Richtlinien für Teleworking waren oft nicht praxistauglich oder haben sogar gefehlt.
Und natürlich gibt es eine unendlich lange Liste solcher Beispiele – Sie kennen diese sicherlich allzu gut. Umso wichtiger ist es, dass wir die Ziele der Informationssicherheit strengstens verfolgen: Verfügbarkeit, Vertraulichkeit und Integrität.
Arbeiten per Remote Desktop – mögliche Sicherheitslücken
Ein Beispiel aus der Homeoffice-Praxis ist das Arbeiten per Remote Desktop – wo vor allem die Technik, also die IT-Security einwandfrei funktioniert, aber der Faktor Mensch dabei eine große Rolle spielt. Im folgenden Video erklärt Gerlinde Macho, Digitalisierungsberaterin & Certified Information Security Manager, die Thematik der Informationssicherheit per Remote Desktop:
Damit solche einfach behebbaren Sicherheitslücken nicht passieren, müssen die Unsicherheitsfaktoren ausgeschlossen werden. Stellen Sie technische Sicherheitsmaßnahmen sicher und machen Sie Ihre Mitarbeiter*innen zum Sicherheitsfaktor. Ziel ist es, durch Sensibilisierung und Schulungen das menschliche Verhalten informationssicherheitskonform zu gestalten. Dies geschieht durch Information Security Awareness.
Patrick Steininger technischer Leiter Standort NÖ von MP2 IT-Solutions, kennt die Thematik des Teleworkings ganz genau und gibt folgende Tipps:
"Beim Teleworking können technische Vorab-Einstellungen getroffen werden. Dies betrifft Remote Desktop oder auch ähnlichen Hersteller wie Citrix – so können Anwenderfehler sowie Berechtigungen vom Unternehmen klar gesteuert und die Einhaltung der Informationssicherheit gewahrt werden. Für IT-Administratoren habe ich speziell folgende Links:
- Remote Desktop
docs.microsoft.com/de-de/windows-server/remote/remote-desktop-services/clients/remote-desktop-allow-access - Laufwerke & Zwischenablage
docs.microsoft.com/de-de/windows/client-management/mdm/policy-csp-remotedesktopservices#remotedesktopservices-donotallowdriveredirection - Druckerverbindungen
docs.microsoft.com/de-de/windows/client-management/mdm/policy-csp-printers
Schaffen Sie klare Richtlinien und schulen Sie Ihr Team."
Security Awareness: virtuelle Trainings von MP2 IT-Solutions
Unser konkretes Angebot für eine virtuelle Security-Awareness-Schulung von der Dauer von 2 Stunden: € 320 exkl. USt für bis zu 8 Teilnehmer*innen.
Informationssicherheit bei MP2 IT-Solutions nach ISO 27001
MP2 IT-Solutions ist seit Sommer 2017 nach ISO 27001 zertifiziert. Neben drei zertifizierten Datenschutzbeauftragten verfügen wir über zwei zertifizierte Information Security Manager. Für die Maßnahmen im technischen Bereich stehen Ihnen unsere IT-Security-Expert*innen zur Verfügung. MP2 IT-Solutions: IT für Unternehmen. Lösungen für Menschen.
Mehr zum Informationssicherheitsmanagement von MP2 IT-Solutions
