Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
So gefährden Angriffe auf Mitarbeiter das Unternehmen
socialKompromittierte Mitarbeiter erleichtern Social Engineering für Angriffe auf Unternehmen. Es muss nicht gleich ein Seitensprung sein. Das aktuelle Beispiel zeigt jedoch, dass es Risiken beim Zusammenwachsen von Arbeits- und Privatleben gibt.
Es ist schon fast erschreckend, welche Folgen ein eigentlich nicht außergewöhnlicher Hackerangriff hat. Der Verlust privater Daten ist zwar ärgerlich, ist aber bisher meist ohne große Folgen geblieben: „wen interessiert schon, was in meinen Mails steht oder was ich online poste“.
Der aktuelle Fall zeigt jedoch eindrucksvoll, wie private Aktivitäten auch Auswirkungen auf die berufliche Reputation habe. Rechtlich korrekt — das Grundgesetz räumt uns diverse Freiheiten und Rechte ein — gelten so manche Vorlieben und Aktivitäten doch im sozialen Umfeld unter Umständen als verwerflich bzw. religiös oder moralisch anstößig. Kurz gesagt, die Toleranz unserer Mitmenschen kennt Grenzen.
Prominente wissen um die Öffentlichkeit ihres Seins. Die Meisten von Ihnen haben sich in unterschiedlicher Weise damit arrangiert. Privatpersonen ist dieses Maß an öffentlicher Aufmerksamkeit ungewohnt. Wer glaubt, er habe nichts zu verbergen, möge im Kreise „vehementer politisch Aktiver“ die Gegenposition heraussuchen und diese öffentlich vertreten. Die Wirkung dürfte ähnlich der im Fußballstadion sein, wenn man, umgeben von den Fans oder Ultras der gegnerischen Mannschaft, die eigene anfeuert.
Was geschieht nun, wenn eine eher „graue Maus“ unter den Mitarbeitern eines Unternehmens durch einen Hack plötzlich Gefahr läuft ins Rampenlicht zu geraten und evtl. seinen Arbeitsplatz in Gefahr sieht?
Social Engineering – privater Angriff, unternehmerische Auswirkung
Ein Beitrag auf handelsblatt.com formuliert kurz und prägnant, warum Informationssicherheit und Datenschutz wichtig sind: „Tränen, peinliche Geständnisse, beendete Ehen und Karrieren und vielleicht auch Selbstmorde. Der Datendiebstahl bei einer Seitensprung-Agentur zeigt deutlich, wie unsicher kompromittierende Daten im Netz sein können.
Das verquicken privater Daten und Vorkommnisse mit der beruflichen Reputation ist eine brisante Mischung: Es ist unbestritten, dass Menschen einiges auf sich nehmen, um ihr Privatleben zu retten.
Was in diesem Fall den Voyeur auf den ersten Blick amüsiert, stellt für Unternehmen auf den zweiten Blick eine echte Herausforderung dar: Den Mitarbeitern ein, in diesem Fall „angemessenes“ Verhalten im Privatleben vorzuschreiben, ist selbst weder angemessen noch mit deutschem (Grund-)Recht vereinbar. Einzig gangbare Lösung ist ein Codex der Unternehmen, der für ausreichend Schutz von Kundendaten sorgt. Eine Selbstverpflichtung der Wirtschaft also, die damit ihre Mitarbeiter und letztlich sich selbst schützt.
Nur hat das die vergangenen Jahre nicht so wirklich funktioniert, so dass Stimmen nach staatlicher Regulierung laut wurden.
„Sicherheitsexperten sahen in vergangenen Serien von Einbrüchen vor allem das Resultat der Versäumnisse der letzten Jahre, in denen unter anderem nicht genug für die Sicherheit von Internet-Angeboten getan wurde. Auch der Datenschutzbeauftragte des Landes Niedersachsen sieht die Schuld vor allem bei den betroffenen Unternehmen: Bei unseren Kontrollen stellen wir regelmäßig fest, dass Betreiber die in § 9 Bundesdatenschutzgesetz vorgeschrieben technisch organisatorischen Maßnahmen im Bereich Telemedien oft nur ungenügend umsetzen. Nach unseren Erkenntnissen mangelt es oft an der nötigen Sachkunde der Betreiber, wenn Telemedien nicht ausreichend gesichert sind.“
Sicherheitsgesetz oder Selbstverpflichtung
Nun ist ein Sicherheitsgesetz verabschiedet. Auch wenn es in der Vergangenheit Stimmen gab, die eine Verabschiedung eines Sicherheitsgesetzes höchst kritisch sahen, v. a. aufgrund der damit verbundenen Kosten und einem möglichen Reputationsverlust.
„Der IT-Branchenverband Bitkom warnte beispielsweise vor den Kosten, die durch das geplante IT-Sicherheitsgesetz auf die Unternehmen zukommen könnten“ Auch sieht „der Digitalverband Bitkom die geplanten Sanktionen im IT-Sicherheitsgesetz kritisch. Nach dem jüngsten Entwurf sollen Betreiber kritischer Infrastrukturen wie Energie- und Wasserversorger, wichtige Verkehrsunternehmen oder Teile der Ernährungswirtschaft bis zu 100.000 Euro Strafe zahlen, wenn sie schwerwiegende IT-Sicherheitsvorfälle nicht den Behörden melden oder die geplanten Mindeststandards bei der IT-Sicherheit unterlaufen“.
Fazit:
Wer nicht mit der Zeit geht, geht mit der Zeit. Für die deutsche Wirtschaft werden mit zunehmender Digitalisierung verlässliche stabile Rahmenbedingungen für effizientes Arbeiten immer wichtiger. Hierzu gehört auch das Management von Störungen im Betriebsablauf. Wer hier seinen Beitrag nicht leistet und durch die Einhaltung von Mindeststandards bei Informationssicherheit und Datenschutz auch zum Schutz der anderen Unternehmen agiert, kann kaum Verständnis für die eigene Situation erwarten.
Bild: © Bernd Kasper / pixelio.de
Bernd Feuchter beschäftigt sich seit 1997 im Hause DATEV mit IT-Themen, anfangs im Produkt- und Service-Management für unterschiedliche DATEV IT-Lösungen. Nach seinem Studium zum Informatik-Betriebswirt (VWA) kümmert er sich seit 2004 um die Kommunikation zu Sicherheitsthemen und die übergreifende Vermarktung der entsprechenden Sicherheitsprodukte bei DATEV. Daneben ist er seit 2006 für DATEV eG als Referent für “Sicherheitsthemen im Unternehmensalltag” tätig; seine Spezialität sind Vorträge mit Live-Demos und –Hacking.
Für DATEV sind Datenschutz und Datensicherheit seit Gründung des Unternehmens zentrale Elemente in der Geschäftspolitik. Daher engagiert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.
Neueste Kommentare