Skip to main content

Selbst der sicherste Tresor der Welt funktioniert nur, wenn man auch die Tür richtig schließt und sich die passende Kombination merken kann. Dieses Bild lässt sich gut auf die IT-Sicherheit übertragen, denn der Knackpunkt ist hier häufig der Mensch. Es bedarf der Kooperation von AnwenderInnen, um das Potenzial von Tools und Prozessen zur Abwehr von Angriffen auf Unternehmensdaten voll auszuschöpfen.

Im letzten Jahr agierten so gut wie alle WissensarbeiterInnen aus dem Homeoffice, was gerade KMUs vor ganz neue Herausforderungen in Bezug auf die IT-Sicherheit stellte. Die Digitalisierung ist über Nacht auf die Überholspur gewechselt. Das hat uns vorangebracht, aber auch seinen Tribut gefordert. Das Thema Sicherheit ist aktueller denn je!

Vor nicht allzu langer Zeit sind bspw. die Netzwerke der Funke Gruppe, der Madsack Gruppe und auch von Radio Energy Cyber-Attacken zum Opfer gefallen. Der Fleischfabrikant JBS zahlte Cyberkriminellen, die mittels Ransomware die IT des Unternehmens lahmlegten, 11 Mio. € in Kryptowährung. Carbon Black berichtet, dass in den letzten 12 Monaten 94 Prozent der Unternehmen weltweit von einer Datenschutzverletzung betroffen waren.

Das laut PCI Pal Global Research 41 Prozent der VerbraucherInnen behaupten, dass sie nach einem einmaligen Verstoß nie wieder zu einem Anbieter oder einer Anbieterin zurückkehren würden, zeigt umso mehr, wie wichtig es ist, sicherzustellen, dass Unternehmen alles in ihrer Macht Stehende tun, um Sicherheitsbedenken zu vermeiden. Schutz gegen virtuelle Angriffe ist und bleibt daher eine der höchsten Prioritäten für IT-EntscheiderInnen. 

EXTRA: Cyber-Security: Wie du DDoS-Attacken abwehren kannst

Datenschätze & Prozesse besser vor Risiken schützen 

Obwohl kleine und mittelständische Unternehmen die rasante Umstellung ins Homeoffice gemeistert haben, darf die IT-Sicherheit unter keinen Umständen aus dem Blick geraten. Denn auch dezentrale Endpunkte und IT-Ressourcen müssen zuverlässig geschützt werden. KMUs können im Gegensatz zu großen Unternehmen oder IT-nativen Unternehmen selbst auf weniger technisches Know-how und weniger finanzielle Mittel zurückgreifen. Zudem können sie keine gewaltigen Arsenale gegen Cyber-Angriffe ins Feld führen oder mittels Penetrationstest die eigene IT-Sicherheitsarchitektur auf Herz und Nieren prüfen lassen.

Trotzdem muss Datensicherheit gewährleistet werden. Managed Security, also das Auslagern der IT-Security-Aufgaben an Profis, stellt eine preisgünstige und lohnenswerte Alternative für KMUs dar. Aber allen Firewalls, VPNs und Zero-Trust-Richtlinien zum Trotz bleibt der Mensch selbst ein unberechenbares Einfallstor und somit ein Sicherheitsrisiko. Dieses Risiko lässt sich mit intuitiven Tools, die sich gut in bestehende Prozesse eingliedern lassen und einer begleitenden Sicherheitskultur reduzieren.

IT-Sicherheit: Starke Mauern, schwache Tore?

Eines der Tools, die Sicherheit im genetischen Code tragen, sind cloud-basierte Passwort-Manager, die Zugangsdaten und Passwörter sicher und geräteübergreifend speichern. Das einzige Passwort, das du dir merken musst, ist das Master-Passwort. Wobei die meisten Passwort-Manager sogar Hilfestellung in Sachen Merkbarkeit mit sicherem Notfall-Backup bieten. Erinnerungsfunktionen helfen dabei, die Passwörter regelmäßig zu ändern.

Zum neuen Standard gehört auch, dass Sicherheits-Tools inzwischen zweigleisig aufgebaut sind. Dies gilt für KonsumentInnen und Business gleichermaßen in unterschiedlichem Umfang, etwa was die Speicherkapazität oder die Nutzung von Features angeht, zur Verfügung stehen.

Die Zwei-Faktor-Authentifizierung bietet in Kombination dazu eine zweite Ebene der Sicherheit. Diese kann über das Passwort oder den PIN gelegt werden. Hier gibt es die verschiedensten Formen der Authentifizierung, darunter:

  • Authentifikations-Apps
  • Push-Benachrichtigungen
  • Software-Token
  • sprachbasierte Authentifizierung
  • und vieles mehr.

In den meisten Fällen ist die zusätzliche Sicherheitsebene jedoch ein Code, den du per SMS erhältst.

Meine Empfehlung: Motiviere deine MitarbeiterInnen, auch für die Nutzung privater Konten einen Passwortmanager anzuwenden. Zudem kannst du die jährlich anfallenden Kosten dafür übernehmen. Ein überschaubarer Betrag, der aber gerade im Homeoffice, eine extra Portion IT-Sicherheit gewehrt. Insbesondere im Homeoffice, wo MitarbeiterInnen Firmen-Devices vielleicht auch mal für private Zwecke nutzen.

Du lässt ja auch nicht jeden in dein Haus, oder?

Die Steuerung und das Managen von Zugriffsrechten auf Ordner und Dateien muss dank Rechteverwaltungs-Tools wie:

  • Docusnap
  • Access Rights Manager
  • Admin Konsole von Dropbox

kein undurchsichtiges Dickicht sein, in dem sich nur noch IT-Systemadministratoren zurechtfinden. Im Gegenteil: Sie erleichtern Identitäts- und Zugriffsmanagement erheblich und machen den Sicherheitsaspekt für alle zugänglich.

Die Tools eint, dass du Kontrolle und Nachvollziehbarkeit über Datei- und Dokumentenzugriff ausüben kannst. Ebenso kannst du MitarbeiterInnen beispielsweise bestimmte Rollen zuweisen, wie:

  • das bloße Recht zum reinen Betrachten
  • zum Bearbeiten
  • auch zum Download

EigentümerInnen eines freigegebenen Ordners sind in der Lage, NutzerInnen daran zu hindern, andere auf einen Ordner einzuladen.

Anhand von detaillierten Audit-Protokollen kann nachvollzogen werden, wie Daten für Einzelpersonen innerhalb und außerhalb des Unternehmens freigegeben werden. Umfassende Filter und Suchfunktionen ermöglichen gezielte Untersuchungen zur Datennutzung. So spannst du das Sicherheitsnetz engmaschiger und erleichterst die Nachverfolgung und Nachvollziehbarkeit erheblich. 

Mein Tipp: Kulturell kannst du ganz klare Spielregeln aufsetzen und Datentypen je nach Vertraulichkeit klassifizieren. Wenn MitarbeiterInnen einen Sicherheitsverstoß oder eine -lücke finden, solltest du sie positiv darin bestärken, diese zu melden. Somit können sie sich auch als WächterInnen des Unternehmens identifizieren. Bei Dropbox bekommt einmal im Jahr z.B. das Team, von dem die meisten Phishing Mails an die IT-Sicherheit gemeldet wurden, einen Award überreicht. Werde auch du kreativ und entschärfe den bedrohlichen oder auch lästigen Charakter des Themas Sicherheit. Somit holst du alle ins Boot.

Sicher unterzeichnet vom Arbeitsvertrag bis zum Zertifikat

Es erinnert an einen Detektivfilm, in dem die Mülltonne eines Verdächtigen nach wichtigen Informationen durchsucht wird – aber Wirtschaftsspionage ist tatsächlich kein Hollywoodmärchen, sondern eine ernsthafte Bedrohung für Unternehmen. Besonders im Homeoffice, wo kein (DSGVO-konformer) Schredder verfügbar ist, kann gedankenlose Zettelwirtschaft mit Unterschriften auf Papier, die über die Post abgewickelt werden sollen, zum gefährlichen Einfallstor für Spionageangriffe werden.

Ein kleines Tool mit großem positivem Einfluss auf die Geschwindigkeit von Prozessen, das gleichzeitig neue Maßstäbe hinsichtlich Sicherheit und Nachvollziehbarkeit gewährleistet und vertrauenswürdige Rechtsverbindlichkeit herstellt, ist die Qualifizierte Elektronische Signatur (QES). Nur staatlich zertifizierte qualifizierte Vertrauensdienstanbieter (VDAs) dürfen eine solche QES durchführen.

Vor Jahren schon wurden mit eIDAS und UETA die juristischen Grundlagen geschaffen. Ganz anders als das Fax – per Fax übermittelte Unterschriften waren zu keiner Zeit rechtsgültig – sind diese auch DSGVO-konform. Mittels Zeitstempel bieten QES allen VertragspartnerInnen jederzeit transparenten Einblick in und Auskunft über die Veränderungshistorie.

Viele Unternehmen nutzen die QES bereits vollständig für alle unterschriftsrelevanten Geschäftsprozesse von A wie Arbeitsvertrag bis Z wie Zertifizierung. Mit ein paar Klicks ist das Unterschriftsprozedere erledigt – binnen weniger Minuten können Unterschrift, Kopie und Ablage erfolgen. Man kann sich leicht vorstellen, wie viel Zeitverlust und Umstände Unternehmen durch die smarten und sicheren Unterzeichnungs-Workflows erspart bleiben. 

Elektronische Signaturen für mehr IT-Sicherheit

Dank der persönlichen Identitätsprüfung von IDnow und der digitalen Zertifizierung durch den Trusted Service Provider (TSP) auf der European Trusted List (EUTL) Namirial bieten Tools heute mit QES den höchsten Standard rechtsverbindlicher elektronischer Signaturen. So steht tatsächlich auch dem virtuellen Gang zum Notar oder dem vollständig virtualisierten Prozess rund ums digitale Grundbuch nichts mehr im Wege.

Ein gutes Beispiel gibt der Hamburger Anbieter für digitale Immobilieninvestment Exporo, der von Beginn an auf einen smarten Arbeitsplatz und heute mit rund 200 Mitarbeitenden auf digitale Workflows setzt. Intern z.B. bei Onboarding-Prozessen oder auch extern – beispielsweise im Datenaustausch mit KundInnen und externen StakeholderInnen – sind kurze Kommunikationswege oberstes Gebot. Dass im zeitkritischen Immobilieninvest-Geschäft eSignaturen unabdingbar sind, ist evident, daher digitalisiert Exporo seinen unterschriftsgebundenen Dokumentenprozess mithilfe der zu Dropbox gehörenden eSignatur-Lösung HelloSign.

Niedrigschwelliger Zugang zu höchster Sicherheitsstufe

Heutzutage brauchen wir sichere, sich nahtlos in die bestehenden Rahmenbedingungen integrierende Sicherheits-Tools. Um die natürlichen Abwehrkräfte eines Unternehmens wirklich stärken zu können, müssen diese Tools von Mitarbeitenden sowie KundInnen problemlos angewendet und akzeptiert werden. Denn die einfache Benutzbarkeit der Tools steigert nicht nur die Akzeptanz, sondern stellt eine gute Ausgangsbasis dafür dar, die sicherheitsspezifische Sensibilisierung der MitarbeiterInnen weiter voranzutreiben.

Schließen Unternehmen mithilfe intuitiver Werkzeuge die Tür des Tresors zu ihrem Datenschatz, sind Mitarbeitende nicht länger ein Sicherheitsrisiko, sondern Teil der Lösung und leisten einen wertvollen Beitrag zu dessen Schutz. So helfen sie aktiv mit, dass das Einfallstor Mensch zuverlässig dichthält.

EXTRA: Cyber Security Awareness: 5 Tipps, wie du deine Mitarbeiter sensibilisierst

Andrea Trapp

Andrea Trapp ist Vice President of Business International bei Dropbox und leitet ihre internationalen Teams aus München heraus. Die diplomierte Wirtschaftswissenschaftlerin und Expertin für Change-Management war 22 Jahre lang - zeitweise im Ausland - in europaweiten Führungs- oder Vorstandspositionen internationaler Tech- und PropTech-Unternehmen tätig. Ihre inhaltlichen Schwerpunkte lagen dabei stets auf den Themen Digital Leadership und der Optimierung von Transformationsprozessen. Dabei versteht sie sich als Coach und Mentorin ihrer Teams. Bei Dropbox steht sie als Leitfigur in der aktuellen Transformation zum „Virtual First”-Unternehmen. Mehr zu Dropbox unter www.dropbox.com.

Der Artikel hat dir gefallen? Gib uns einen Kaffee aus!

Leave a Reply