Risikofaktor Mensch

Privatprogramme und Flüchtigkeitsfehler minimieren

| Autor / Redakteur: Richard Anstey* / Stephan Augsten

Dolchstoßlegende: Kaum ein IT-Nutzer fällt dem Arbeitgeber absichtlich in den Rücken.
Dolchstoßlegende: Kaum ein IT-Nutzer fällt dem Arbeitgeber absichtlich in den Rücken. (Bild: Archiv)

Das größte Sicherheitsrisiko eines Unternehmens sind weder Passwörter noch Ports. Es ist der Mensch, der sich unlogisch verhält, manchmal widerwillig und oft fehlerhaft. Dabei meinen es die Mitarbeiter meist sogar noch gut.

Nicht liegt den Mitarbeitern in der Regel ferner, als ihren Arbeitgeber zu sabotieren. Sie wollen meist einfach nur möglichst effizient ihre Aufgaben erledigen. Hier liegt bereits der Kern des Problems, des Risikofaktors Mensch.

Der Durchschnitts-User ist heute um einiges technikversierter als früher. Er scheut sich nicht, seine Helfer aus dem privaten Umfeld mit ins Büro zu bringen: Cloud-Dienste, Apps und andere Software-Tools, die ihm zuhause gute Dienste leisten. Genau diese will er nun auch am Arbeitsplatz gewinnbringend einsetzen.

Doch das ist ihm untersagt; die IT-Richtlinien sprechen meist eine klare Sprache. Dies erschließt sich der überwiegenden Zahl von Mitarbeitern leider nicht immer, schließlich wollen sie nur ihre Passwörter einfacher verwalten, ihre To-Do-Listen organisieren oder dem Kollegen schnell ein Bild schicken. Was kann daran falsch sein?

Das Problem ist also zweiteilig: auf der einen Seite gilt es, die Mitarbeiter effektiv zu schulen, welchen Wert die IT-Richtlinien des Unternehmens haben. Auf der anderen Seite muss die IT-Abteilung dafür sorgen, dass die eingesetzten Lösungen auch den Anforderungen der Nutzer entsprechen.

Die beste Schulung wird nicht fruchten, wenn der Mitarbeiter seine Arbeit mit den erlaubten Programmen nur unter großen Mühen erledigen kann. Er wird sich den Weg des geringsten Widerstands suchen und über kurz oder lang die Richtlinien verletzen.

Mitarbeiterschulungen sind nicht genug

Die Unfähigkeit von Unternehmen, nutzerfreundliche und zugleich sichere Lösungen einzusetzen, zeigt sich in vielen Studien – so auch in der aktuellen Ponemon-Umfrage im Auftrag von Intralinks unter IT-Fachleuten in Deutschland, UK und den USA.

Die Mehrheit der Befragten gab zu, dass ihr Unternehmen nicht in der Lage sei, die Verbreitung von und den Zugriff auf sensible Daten nachzuvollziehen. In den Unternehmen der Befragten würden zudem private Datenträger und herkömmliche File-Sharing-Lösungen aus dem privaten Umfeld eingesetzt.

Die Ausbildung aller Mitarbeiter für einen sicheren und verantwortungsvollen Umgang mit den Daten ist daher nur der erste Schritt. Der Einsatz von nutzerfreundlichen Lösungen der zweite. Wichtig dabei ist jedoch, dass die Lösung, die sich ein Unternehmen für die Verwaltung von Dateien und die Zusammenarbeit von Mitarbeitern und Externen auswählt, nicht nur sicher und leicht zu bedienen ist. Sie muss auch den Fehlern der Nutzer vorbeugen.

Filesharing-Funktionen und Backup-Features sollten Hand in Hand gehen mit automatischer Verschlüsselung, etwa von Dateien im Email-Anhang. Der gesamte Lebenszyklus eines Dokuments sollte durch eine solche Lösung kontrolliert werden.

Vollständige Kontrolle durch Information Rights Management

Um die genannten Anforderungen zu erreichen, existieren bereits verschiedene Technologien. Dazu gehört auch das Information Rights Management, kurz IRM, das den Schutz und die Kontrolle sensibler Daten von Anfang an garantiert. Dazu wird ein Dokument direkt mit den Rechten versehen, über die sein Nutzer verfügt.

Projektleiter etwa können somit auf den Tag genau festlegen, wie lange ein bestimmter Mitarbeiter Zugriff auf das Dokument haben und welche Aktionen er mit dem Dokument in diesem Zeitraum ausüben darf – etwa, ob er es drucken, kopieren oder verändern kann. Auf diese Weise behält der Eigentümer der Daten die Kontrolle und kann den Zugriff auf die Dateien jederzeit widerrufen. Danach lässt sich das Dokument schlicht nicht mehr öffnen.

Indem Unternehmen ihren Dateien ein Verfallsdatum geben, können sie zudem sicherstellen, dass andere eine Datei nach beispielsweise einer Woche nicht mehr lesen können – unabhängig davon, an welchem Ort sie sich befindet. Die Vergabe eines Verfallsdatums ist auch noch im Nachhinein möglich, nachdem andere die Daten kopiert oder weitergeleitet haben.

Für den Fall, dass eine Datei zurückgezogen werden soll, kann der Eigentümer ferngesteuert per Klick veranlassen, sie rückstandslos zu zerstören. Solche Funktionen bieten ihren Nutzern auch bei externer Herausgabe die vollständige Kontrolle und Steuerung über sensible Daten.

Die Nutzer ernst nehmen, Kontrolle sicherstellen

Heute speichern, verarbeiten und verschicken viele Mitarbeiter von Unternehmen aller Größen Dateien mit sensiblen Informationen. Fehler, die bei der Aufbewahrung oder der Übertragung von Daten auftreten, sind dabei keine Seltenheit. Dabei bedeuten besonders die Programme und Dienste, die eigentlich für den Privatgebrauch vorgesehen sind, für Unternehmen eine Gefährdung der Sicherheitsstruktur im Unternehmen.

Menschliches Versagen komplett zu vermeiden ist zwar unrealistisch. Die richtigen Sicherheitsvorkehrungen – wie Datenschutzschulungen und IRM-basierte Collaboration-Lösungen – können allerdings dazu beitragen, das Risiko menschlicher Fehler zu minimieren.

Richard Anstey
Richard Anstey (Bild: Intralinks)

Hilfreich ist auch eine enge Zusammenarbeit mit den Sicherheits- und IT-Abteilungen des eigenen Unternehmens. Sie sind es, die Tools und Programme autorisieren und auswählen. Sie müssen Lösungen wählen, die sowohl den IT-Richtlinien entsprechen und Sicherheitslücken vermeiden als auch den Vorteilen von Verbrauchertools entsprechen: eine einfache Bedienung bei effizienter Arbeitsleistung – und das ohne Sicherheitsrisiko für sämtliche Unternehmensdaten.

* Richard Anstey ist Chief Technology Officer EMEA bei Intralinks und besitzt über 15 Jahre Erfahrung im Informationsmanagement.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44109180 / Hacker und Insider)