DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

So gefährden Angriffe auf Mit­ar­beiter das Unter­nehmen

social­Kom­pro­mit­tierte Mit­ar­beiter erleichtern Social Engi­neering für Angriffe auf Unter­nehmen. Es muss nicht gleich ein Sei­ten­sprung  sein. Das aktuelle Bei­spiel zeigt jedoch, dass es Risiken beim  Zusam­men­wachsen von Arbeits- und Pri­vat­leben gibt.


Es ist schon fast erschre­ckend, welche Folgen ein eigentlich nicht außer­ge­wöhn­licher Hacker­an­griff  hat. Der Verlust pri­vater Daten ist zwar ärgerlich, ist aber bisher meist ohne große Folgen geblieben: „wen inter­es­siert schon, was in meinen Mails steht oder was ich online poste“.
Der aktuelle Fall zeigt jedoch ein­drucksvoll, wie private Akti­vi­täten auch Aus­wir­kungen auf die beruf­liche Repu­tation habe. Rechtlich korrekt — das Grund­gesetz räumt uns diverse Frei­heiten und Rechte ein — gelten so manche Vor­lieben und Akti­vi­täten doch im sozialen Umfeld unter Umständen als ver­werflich bzw. religiös oder mora­lisch anstößig. Kurz gesagt, die Toleranz unserer Mit­men­schen kennt Grenzen.


Pro­mi­nente wissen um die Öffent­lichkeit ihres Seins. Die Meisten von Ihnen haben sich in unter­schied­licher Weise damit arran­giert. Pri­vat­per­sonen ist dieses Maß an öffent­licher Auf­merk­samkeit unge­wohnt. Wer glaubt, er habe nichts zu ver­bergen, möge im Kreise „vehe­menter poli­tisch Aktiver“ die Gegen­po­sition her­aus­suchen und diese öffentlich ver­treten. Die Wirkung dürfte ähnlich der im Fuß­ball­stadion sein, wenn man, umgeben von den Fans oder Ultras der geg­ne­ri­schen Mann­schaft, die eigene anfeuert. 


Was geschieht nun, wenn eine eher „graue Maus“ unter den Mit­ar­beitern eines Unter­nehmens durch einen Hack plötzlich Gefahr läuft ins Ram­pen­licht zu geraten und evtl. seinen Arbeits­platz in Gefahr sieht?


Social Engi­neering – pri­vater Angriff, unter­neh­me­rische Aus­wirkung
Ein Beitrag auf handelsblatt.com for­mu­liert kurz und prä­gnant, warum Infor­ma­ti­ons­si­cherheit und Daten­schutz wichtig sind: „Tränen, pein­liche Geständ­nisse, beendete Ehen und Kar­rieren und viel­leicht auch Selbst­morde. Der Daten­dieb­stahl bei einer Sei­­ten­­sprung-Agentur zeigt deutlich, wie unsicher kom­pro­mit­tie­rende Daten im Netz sein können.


Das ver­quicken pri­vater Daten und Vor­komm­nisse mit der beruf­lichen Repu­tation ist eine bri­sante Mischung: Es ist unbe­stritten, dass Men­schen einiges auf sich nehmen, um ihr Pri­vat­leben zu retten.
Was in diesem Fall den Voyeur auf den ersten Blick amü­siert, stellt für Unter­nehmen auf den zweiten Blick eine echte Her­aus­for­derung dar: Den Mit­ar­beitern ein, in diesem Fall „ange­mes­senes“ Ver­halten im Pri­vat­leben vor­zu­schreiben, ist selbst weder ange­messen noch mit deut­schem (Grund-)Recht ver­einbar. Einzig gangbare Lösung ist ein Codex der Unter­nehmen, der für aus­rei­chend Schutz von Kun­den­daten sorgt. Eine Selbst­ver­pflichtung der Wirt­schaft also, die damit ihre Mit­ar­beiter und letztlich sich selbst schützt.
Nur hat das die ver­gan­genen Jahre nicht so wirklich funk­tio­niert, so dass Stimmen nach staat­licher Regu­lierung laut wurden.


„Sicher­heits­ex­perten sahen in ver­gan­genen Serien von Ein­brüchen vor allem das Resultat der Ver­säum­nisse der letzten Jahre, in denen unter anderem nicht genug für die Sicherheit von Internet-Ange­­boten getan wurde. Auch der Daten­schutz­be­auf­tragte des Landes Nie­der­sachsen sieht die Schuld vor allem bei den betrof­fenen Unter­nehmen: Bei unseren Kon­trollen stellen wir regel­mäßig fest, dass Betreiber die in § 9 Bun­des­da­ten­schutz­gesetz vor­ge­schrieben tech­nisch orga­ni­sa­to­ri­schen Maß­nahmen im Bereich Tele­medien oft nur unge­nügend umsetzen. Nach unseren Erkennt­nissen mangelt es oft an der nötigen Sach­kunde der Betreiber, wenn Tele­medien nicht aus­rei­chend gesi­chert sind.“


Sicher­heits­gesetz oder Selbst­ver­pflichtung
Nun ist ein Sicher­heits­gesetz ver­ab­schiedet. Auch wenn es in der Ver­gan­genheit Stimmen gab, die eine Ver­ab­schiedung eines Sicher­heits­ge­setzes höchst kri­tisch sahen, v. a. auf­grund der damit ver­bun­denen Kosten und einem mög­lichen Repu­ta­ti­ons­verlust.
„Der IT-Bran­chen­­verband Bitkom warnte bei­spiels­weise vor den Kosten, die durch das geplante IT-Sicher­heits­­­gesetz auf die Unter­nehmen zukommen könnten“ Auch sieht „der Digi­tal­verband Bitkom die geplanten Sank­tionen im IT-Sicher­heits­­­gesetz kri­tisch. Nach dem jüngsten Entwurf sollen Betreiber kri­ti­scher Infra­struk­turen wie Energie- und Was­ser­ver­sorger, wichtige Ver­kehrs­un­ter­nehmen oder Teile der Ernäh­rungs­wirt­schaft bis zu 100.000 Euro Strafe zahlen, wenn sie schwer­wie­gende IT-Sicher­heits­­­vor­­­fälle nicht den Behörden melden oder die geplanten Min­dest­stan­dards bei der IT-Sicherheit unter­laufen“.
 

Fazit:
Wer nicht mit der Zeit geht, geht mit der Zeit. Für die deutsche Wirt­schaft werden mit zuneh­mender Digi­ta­li­sierung ver­läss­liche stabile Rah­men­be­din­gungen für effi­zi­entes Arbeiten immer wich­tiger. Hierzu gehört auch das Management von Stö­rungen im Betriebs­ablauf. Wer hier seinen Beitrag nicht leistet und durch die Ein­haltung von Min­dest­stan­dards bei Infor­ma­ti­ons­si­cherheit und Daten­schutz auch zum Schutz der anderen Unter­nehmen agiert, kann kaum Ver­ständnis für die eigene Situation erwarten.
 

Bild: © Bernd Kasper / pixelio.de

 

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bernd Feuchter, DATEV eG

Bernd Feuchter beschäftigt sich seit 1997 im Hause DATEV mit IT-Themen, anfangs im Produkt- und Service-Management für unter­schied­liche DATEV IT-Lösungen. Nach seinem Studium zum Infor­matik-Betriebswirt (VWA) kümmert er sich seit 2004 um die Kom­mu­ni­kation zu Sicher­heits­themen und die über­grei­fende Ver­marktung der ent­spre­chenden Sicher­heits­pro­dukte bei DATEV. Daneben ist er seit 2006 für DATEV eG als Referent für “Sicher­heits­themen im Unter­neh­mens­alltag” tätig; seine Spe­zia­lität sind Vor­träge mit Live-Demos und –Hacking.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.