Interview mit ISX-Keynote-Speakerin Kim Braunias Unternehmen müssen entscheiden, ob sie kostenlose Tools zulassen wollen

Anbieter zum Thema

FTAPI Software GmbH

Insider Research

Specops Software GmbH

Trotz steigender IT-Security-Budgets vergeht kein Tag, an dem nicht von neuen Cyberattacken auf Unternehmen berichtet wird. Häufig investieren Unternehmen in die falschen Sicherheitsmaßnahmen meint ISX-Keynote-Sprecherin Kim Braunias, Informationssicherheitsbeauftragte bei FLOYT Mobility. Sie spricht mit uns außerdem über die Risiken kostenloser Dienste und Tools und wie Unternehmen die Balance zwischen Sicherheit und Effizienz finden.

Security-Insider: Frau Braunias, man liest inzwischen fast täglich von erfolgreichen Cyberattacken und gestohlenen Firmendaten. Gleichzeitig geben deutsche Unternehmen aber Jahr für Jahr mehr für IT-Sicherheit aus. Was läuft denn da schief?

Kim Braunias: Es liegt sicher nicht am fehlenden Geld, aber leider wird häufig in die falschen Sicherheitsmaßnahmen investiert und das 1x1 der Informationssicherheit ist nicht verstanden. Zudem gibt es auch immer noch Firmen, die der Auffassung sind, dass eine Cyberattacke sie nicht betreffen wird, da sie „gar nicht so interessant sind“. Das ist eine völlig falsche Annahme und führt dazu, dass einige Unternehmen nichts gegen diese Risiken machen.

Natürlich nimmt die Komplexität der Bedrohungslandschaft immer weiter zu und die Cyberbedrohungen entwickeln sich ständig weiter, was es schwierig macht, immer einen Schritt voraus zu sein. Ein weiterer Grund ist die mögliche mangelnde Umsetzung von Sicherheitsmaßnahmen, welche entweder nicht ausreichend sind, nicht effektiv umgesetzt werden oder einfach nicht zur Unternehmensstrategie passen. Dazu kommen Faktoren wie unzureichende Schulung der Mitarbeiter oder die fehlende Priorisierung der Sicherheit auf Vorstandsebene. Unternehmen sollten nicht nur in technische Lösungen investieren, sondern auch eine umfassende Sicherheitsstrategie entwickeln, die menschliche Verhaltensweisen und organisatorische Prozesse berücksichtigt.

Security-Insider: Was sind denn die klassischen Fehler, die Unternehmen und auch einzelnen Mitarbeitern am häufigsten passieren und die dann zu Datenverlust führen?

Braunias: Natürlich gibt es sehr klassische Fehler, die leider noch viel zu oft auftreten: zu schwache Passwörter, der sorglose Umgang mit vertraulichen Informationen oder auch die fehlende Awareness zum Thema Social Engineering und Phishing. Leider kommt es auch immer wieder vor, dass Mitarbeitende sich nicht trauen einen Vorfall oder ein suspektes Verhalten zu melden. Das führt dazu, dass erst viel zu spät Unregelmäßigkeiten entdeckt werden und der Schaden dann schon größere Ausmaße angenommen hat.

Aber auch die Verwendung von kostenlosen Tools und Cloud-Diensten kann zu einem Datenverlust führen. Der genaue Ablageort und die Sicherheitsvorkehrungen für Daten sind oftmals nicht ausreichend nachvollziehbar, kostenlose Dienste haben nicht die gleichen Sicherheitsstandards wie kostenpflichtige Lösungen, was das Risiko erhöht.

Unternehmen müssen eindeutige Entscheidungen treffen, ob sie kostenlose Tools zulassen wollen. Wenn sie den Gebrauch zulassen, ist es ratsam, eine Übersicht, als eine Art „Contentregister“ zu führen und klare Vorgaben zu machen, welche Art von Informationen dort verarbeitet werden dürfen. Dazu muss man sich mit dem Schutzbedarf der Informationen auseinandersetzen. Auch die Mitarbeitenden müssen verstehen mit welchen Daten sie arbeiten. Das Unternehmen muss eine Strategie entwickeln wie es das Offboarding bei kostenlosen Tools sicherstellen kann und wird.

Security-Insider: Oft sagen Mitarbeitende ja, dass sie gar nicht mehr wissen, wie sie vor lauter Sicherheit ihre Arbeit noch effizient erledigen sollen. Ist das nur ein Gefühl oder trifft das tatsächlich zu?

Braunias: Wahrscheinlich ist es nicht nur ein Gefühl, sondern entspricht auch der Realität. Wenn Mitarbeitende zusätzliche Schritte unternehmen müssen oder Zugriffsbeschränkungen ihre Fähigkeit zur schnellen Aufgabenerledigung einschränken, kann dies zu Frustration und ineffizienten Arbeitsabläufen führen. Viele Unternehmen führen Sicherheitsmaßnahmen nach dem Grundsatz „viel hilft viel“ oder dem „Gießkannenprinzip“ ein. Das beeinträchtigt dann sehr wohl die Mitarbeitenden in ihrer Effektivität. Es ist wichtig, dass Unternehmen die Balance zwischen Sicherheit und Effizienz finden und angemessenen Sicherheitsmaßnahmen einführen. Dazu sind klare Richtlinien, Schulungen und regelmäßige Überprüfungen notwendig.

Jeder Mitarbeitende muss verstehen, wieso welche Sicherheitsmaßnahme eingeführt wurde und welchen Schutzbedarf die zu verarbeitenden Informationen haben und welche Risiken damit verbunden sind. Eine offene, transparente Kommunikation und klar definierte Verantwortlichkeiten sind dabei hilfreich.

Security-Insider: Das Gefühl durch Sicherheit in der Arbeit behindert zu werden darf aber ja trotzdem nicht dazu führen, dass man Security Policies absichtlich umgeht. Wie zieht man denn als Security-Verantwortlicher die Mitarbeiterinnen und Mitarbeiter auf seine Seite?

Braunias: Es ist von großer Bedeutung, die Mitarbeitenden für die Informationssicherheit zu sensibilisieren und ihr Verständnis sowie ihre Unterstützung zu gewinnen. Eine effektive Kommunikation spielt hierbei eine zentrale Rolle. Es ist wichtig, regelmäßig und transparent über die Gründe und Ziele der Sicherheitsrichtlinien zu informieren. Dabei sollten die potenziellen Risiken und Auswirkungen von Sicherheitsverletzungen verständlich erklärt werden, um das Bewusstsein für die Bedeutung der Sicherheitsmaßnahmen zu stärken. Durch eine kombinierte Herangehensweise, die auf Kommunikation, Schulungen, Beteiligung und Benutzerfreundlichkeit basiert, können Verantwortliche die Mitarbeitenden erfolgreich auf ihre Seite ziehen und eine sicherheitsbewusste Kultur im Unternehmen fördern.

Security-Insider: Wie sollten denn Sicherheitskonzepte und Security-Awareness-Programme umgesetzt sein, damit wirklich alle im Unternehmen bei der Datensicherheit am selben Strang ziehen?

Braunias: Zunächst sollten Sicherheitskonzepte alle relevanten Aspekte der Informationssicherheit abdecken. Das beinhaltet nicht nur technische Sicherheitslösungen, sondern auch den menschlichen Faktor.

Eine klare Führung und die Unterstützung der Geschäftsführung sind entscheidend. Wenn das Management Informationssicherheit als Priorität behandelt und dies aktiv kommuniziert, werden die Mitarbeitenden eher bereit sein, sich zu engagieren und die Sicherheitsmaßnahmen zu unterstützen. Andernfalls ist das gesamte Projekt zum Scheitern verurteilt und erhöht das Risiko eines Datenverlusts ungemein.

Sicherheitsrichtlinien und -verfahren sollten leicht verständlich und umsetzbar sein, um die Akzeptanz und Einhaltung durch die Mitarbeitenden zu erhöhen und zu fördern. Dabei ist es entscheidend lösungsorientiert und risikobasiert vorzugehen, um das Vertrauen der Mitarbeitenden nicht zu verspielen.

Über die ISX IT-Security Conference

Die ISX 2023 findet am 28. Juni in Hamburg, am 4. Juli in Mainz und am 6. Juli in München statt. Für Anwender ist die Teilnahme an der ISX kostenfrei. IT-Dienstleister nehmen mit dem Zugangscode ISX23-SEI zum reduzierten Preis von 75 Euro (inkl. MwSt.) teil.

(ID:49502993)