2020/9 | Fachbeitrag | Digitalisierung

IT-Sicherheit - auch im Homeoffice

Fernarbeit ist bei LogMeIn nicht erst seit Corona an der Tagesordnung. Die Sicherheitskultur des SaaS-Anbieters ist entsprechend hoch, das Konzept ist auch auf Mitarbeiter im Home Office oder auf Reisen ausgelegt. Es lässt sich auf jedes Unternehmen, ob klein, mittelständisch oder Konzern übertragen, denn aktuell benötigt es neben einer sicheren IT-Infrastruktur und Zugriffsrechten auch die passende Sicherheitskultur für digitales Arbeiten. Wie Unternehmen ein Sicherheitsbewusstsein entwickeln und erfolgreich halten, erläutert LogMeIns CISO Gerald Beuchelt in fünf Tipps.

Bildquelle: (C) Christoph Meinersmann auf Pixabay

Die Digitalisierung bringt nicht nur Vorteile, sie ermöglicht auch Sicherheitslücken - der menschliche Faktor ist dabei zum höchsten Risiko geworden. Obwohl Mitarbeiter sich Cyberrisiken bewusst sind und Cybersicherheit verstehen, unternehmen sie nicht die notwendigen Schritte, um ihre persönlichen oder Arbeitsdaten zu sichern. Das offenbarte kürzlich der dritte globale Report "Psychologie der Passwörter" von LastPass. Tatsächlich wissen 94 Prozent der Befragten aus Deutschland, dass die Wiederverwendung eines Kennworts unsicher ist, aber überwältigende 66 % verwenden immer noch dasselbe Kennwort.

Durch diese Denke und die Freiheit, wo und wie der Mitarbeiter arbeitet in Kombination mit der Vermischung privat wie beruflich genutzter Devices und Apps, bleiben Unternehmen angreifbar. Die Schaffung einer Sicherheitskultur ist also unerlässlich für den erfolgreichen Fortbestand jedes Unternehmens.

Sicherheitsdenken kennt keine Hierarchieebenen

Sicherheit kann nicht erfolgreich umgesetzt werden, wenn nicht alle Beteiligten an Bord sind. Das muss jedem Unternehmen und der Geschäftsleitung bewusst sein. Es braucht eine gemeinsame Anstrengung, die alle Hierarchieebenen gleichermaßen einbezieht. Jeder einzelne im Unternehmen muss sich an die Sicherheitsziele und -richtlinien halten und sie verstehen. Das Top-Management geht dabei mit gutem Beispiel voran, damit Sicherheit nachhaltig Erfolg hat. Das Security- oder IT-Team ist dabei für die multidirektionale Kommunikation des Sicherheitsprogramms zuständig. Das heißt, es arbeitet hierarchisch gesehen von oben nach unten, von unten nach oben und von einer Abteilung zur anderen, um die Leitlinien zu vermitteln.

IT-Teams müssen die Sprache der Mitarbeiter sprechen

Mitarbeiter müssen Sicherheit als Enabler oder gar Produktmerkmal betrachtet. Sie bei neuen Sicherheitssystemen, -konzepten und -richtlinien vor vollendete Tatsachen zu stellen, fördert nur Argwohn und Unverständnis. Aufklärung und Transparenz sind die Lösung für einen nachhaltigen Change-Prozess. Es gilt, die Mitarbeiter in Verantwortung zu nehmen, ihnen auf Augenhöhe zu begegnen. Und ihnen klar zu machen, dass sie durch ein höheres Sicherheitsbewusstsein Freiheit gewinnen, nicht verlieren.

Generationsgerechte Kommunikation

Jeder Mensch lernt dabei anders; einige sind empfänglicher für visuelle oder auditive Inhalte, andere präferieren praxisorientierte Ansätze, lustige oder ernsthafte Lerninhalte. Trotz dieser Differenzen ist die Bereitstellung einer konsistenten Kommunikation der Schlüssel zu einem starken Bewusstsein. Unternehmen sollten sich dabei darauf fokussieren, Sicherheitsschulungen und -materialien generationsgerecht auf verschiedenen Kanälen bereitzustellen, um jeden Lerntypus unter den Mitarbeitern zu erreichen. Zudem hilft es, Mitarbeiter beispielsweise bei Videoproduktionen und Wettbewerben frühzeitig einzubeziehen.

Sicherheit spielerisch vermitteln

Richtlinien lassen sich durch Schulungen und regelmäßige Trainings in den Köpfen der Mitarbeiter verankern und auffrischen. Am besten geschieht dies spielerisch durch Storytelling in Form kleiner Filme, die Bedrohungsszenarien wiedergeben - mit einem kurzen abschließenden Test, der den Lerninhalt bei den Mitarbeitern abfragt. Auch Escape-Rooms sind eine moderne spielerische Form, um Sicherheitswissen zu testen. Darin werden Mitarbeiter mit Sicherheitslücken konfrontiert, die nur durch richtiges Handeln gestopft werden können. Erst dann öffnete sich wieder die Tür. Diese lassen sich nicht nur im Büro, sondern auch virtuell umsetzen. Hinter der letzten "Tür" wartet dann nicht die "Freiheit", sondern ein digitales Feuerwerk mit Urkunde.

Sicherheit ist kein Projekt, sondern ein Prozess

Eine einmalige Sicherheitsschulung - wenn diese auch flächendeckend durchgeführt wird - bleibt nicht im Gedächtnis haften. Die Erschaffung und Aufrechterhaltung einer Sicherheitskultur ist eine sich ständig weiterentwickelnde Mission. Aufklärung und Schulungen zu aktuellen Bedrohungen und Sicherheitsrichtlinien sollten nicht die Ausnahme, sondern die Regel werden.

Der Autor:

Gerald Beuchelt ist als Chief Information Security Officer bei LogMeIn für das gesamte Sicherheits-, Compliance- und technische Datenschutzprogramm des Unternehmens verantwortlich. Mit mehr als 20 Jahren Erfahrung im Bereich Informationssicherheit ist er Mitglied des Board of Directors und IT-Sector Chief für den Bostoner Ortsverband von InfraGard. In seiner früheren Funktion war er Chief Security Officer bei Demandware. Er hat einen Master of Science-Abschluss in theoretischer Physik.

 

 

Diese Artikel könnten Sie auch interessieren

DSGVO: Das Recht auf Löschung - Einfallstor für Bußgelder?

WISSENplus
Am 25. Mai 2018 tritt die EU-Datenschutzgrundverordnung in Kraft. Mit ihr gehen einige Neuerungen auch bezüglich des Rechts auf Datenlöschung einher. Unternehmen sollten diese dringend berücksichtigen, da das Recht auf Datenlöschung als „Recht auf Vergessenwerden“ in einem Verfahren gegen Google erhebliche mediale Aufmerksamkeit erfuhr und daher unter erhöhter Aufsicht der Behörden stehen dürfte....

Weiterlesen

Effektiver Schutz vor Cyber-Kriminalität muss nicht teuer sein

WISSENplus
Russische Hacker attackierten bei einer Serie von Cyber-Angriffen etwa 420.000 Websites und stahlen rund 1,2 Milliarden Nutzernamen und Passwörter. Diese Meldung sorgte in der Internetgemeinde Anfang August für Wirbel. Aber das wirklich Erschreckende daran ist die Tatsache, dass solche Nachrichten anscheinend mittlerweile zu unserem Alltag gehören....

Weiterlesen

Die Cloud lässt sich nicht verbieten – nur besser absichern

WISSENplus
Aktuelle Studien sprechen für sich: Cloud-Dienste wie Office 365, Salesforce oder Dropbox gewinnen zunehmend an Popularität. Schon heute sind in jedem Unternehmen durchschnittlich mehrere hundert Services im Einsatz – zu einem großen Teil ohne das Wissen der IT-Abteilung. Das Problem: Viele Cloud-Dienste eignen sich nicht für die geschäftliche Nutzung, da sie Datenschutz und Unternehmenssicherheit ge...

Weiterlesen

Cleveres Umdenken: Von HR 4.0 zur Arbeitswelt 5.0

WISSENplus
Digitale HR-Prozesse findet man heute bereits in den meisten Personalabteilungen. Dank der Arbeitswelt 4.0 verfügen viele HRler schon über das richtige Mindset in puncto Digitalisierung. So haben sie sich unter anderem von lang bewährten, oft manuellen administrativen Arbeitsabläufen getrennt und sind aufgeschlossen gegenüber digitalen Technologien. In der Version 5.0 stellt sich allerdings nicht...

Weiterlesen

Wie leben wir morgen? Eine Reise ins Jahr 2050

WISSENplus
Im Jahr 2050 besteht die Weltbevölkerung aus ca. 9,7 Milliarden klimabewussten Smart Citizens. Sie leben länger und haben mittlerweile das Weltall und die Tiefen des Ozeans als weitere Verkehrsinfrastrukturen erobert. Aber welche agilen Errungenschaften stecken dahinter? Wie haben sich die Menschen im Jahr 2050 auf der Erde entwickelt und welche Innovationen haben sie zu einer solchen Agilität befähigt?...

Weiterlesen

End-of-Life-Management: Sensible Daten zuverlässig & revisionssicher löschen

WISSENplus
Das richtige Handling der immer schneller anwachsenden digitalen Datenmengen ist in Zukunft ein wichtiger Faktor für den unternehmerischen Erfolg, vor allem wenn es sich um sensible Geschäfts- und Personendaten handelt. Ein professionelles Datenmanagement geht dabei bereits heute weit über das reine Speichern und Verwalten der Daten während ihres Lebenszyklus hinaus und betrifft, u.a. aus rechtlichen Gr...

Weiterlesen

Datenaustausch: Mobil und flexibel, aber auch sicher?

WISSENplus
Unternehmen und öffentliche Organisationen sind sich einig: Die Beschäftigten sollen effizienter und flexibler arbeiten. Eine Voraussetzung dafür ist der schnelle Austausch von Daten zwischen den Unternehmenssystemen und mobilen Geräten wie Smartphone und Tablet. Das Ziel: Immer und überall die richtigen Informationen zur Stelle haben, um den Auftrag zu erledigen, das Angebot abzugeben oder einen Verka...

Weiterlesen

Outsourcing: IT-Sicherheit als Managed Service

WISSENplus
Die Sicherheit nimmt in der IT eine Schlüsselrolle ein. Sie ist unverzichtbar, um das geistige Eigentum eines Unternehmens zu schützen und die Betriebsbereitschaft sicherzustellen. Auf der anderen Seite ist IT-Sicherheit eine ungeliebte Notwendigkeit. Sie verursacht Kosten, ist meist extrem komplex und aufwändig und kann die Produktivität durch strikte Vorgaben einschränken. Mit der zunehmenden Komplex...

Weiterlesen