Sicherheit
IT-Security für den kleinen Geldbeutel
Fortsetzung des Artikels von Teil 1
BYOD – populär aber gefährlich
Bei BYOD bringen Mitarbeiter private Geräte wie Laptops, Smartphones oder Tablet-Computer mit an den Arbeitsplatz und nutzen diese für geschäftliche Zwecke. Aus der Sicht der Budgetplanung mag dies genial erscheinen: das Unternehmen zahlt keinen Cent und hat doch einen
großen Bestand an aktueller Hardware zu Verfügung.
Unter dem Sicherheitsaspekt kann diese Praxis jedoch zum Debakel werden: Mitarbeiter speichern beispielsweise Unternehmensdaten auf demselben Gerät, das zu Hause auch die Kinder benutzen. Ein Malware-Befall dieses Geräts würde also Unternehmensdaten in Gefahr bringen. Mehr noch: da das Gerät Eigentum des Mitarbeiters ist, hat die IT-Abteilung keine Möglichkeit, feste Regeln durchzusetzen, wie etwa, dass auf dem Gerät das aktuellste Betriebssystem läuft oder dass es bestimmten Sicherheitsstandards entspricht (Virenschutz installiert, nicht inoffiziell entzerrt, etc.), und hat keine Möglichkeit, die Festplatte zu löschen, falls das Gerät verloren geht oder gestohlen wird.
Wenn ein Unternehmen plant, private Endgeräte zu erlauben, sollte die IT-Abteilung Mindeststandards festlegen, die Geräte erfüllen müssen, um Teil des Unternehmensnetzwerks zu werden. Am leichtesten lassen sich diese Standards Mithilfe einer Enterprise-Sicherheitslösung durchsetzen, die auch Verwaltungsfunktionen für mobile Geräte bietet.
Zu guter Letzt sollten alle Geräte vollständig verschlüsselt sein, bevor sie ins Unternehmensnetzwerk aufgenommen werden. Bei den meisten Laptops, Smartphones und Tablet-Computern ist diese Funktion serienmäßig vorhanden, so dass keine Extrakosten für Software entstehen. Durch die Verschlüsselung wird das Risiko des Datenverlusts durch Verlust oder Diebstahl der Geräte ausgeschaltet.
Die Cloud und die Sache mit der Malware
Wenn das IT-Budget beschränkt ist, liegt es vermutlich nahe, Server-Infrastruktur in die Cloud auszulagern, es sei denn das Unternehmen ist zufällig selbst IT-Dienstleister. Durch die Auslagerung werden die Kosten für den Bau eines Rechenzentrums sowie die langfristigen Kosten für Strom, Kühlung, Wartung und Steuern gespart.
Es sollte jedoch bedacht werden: Was dabei eingekauft wird, ist Rechenleistung und Speicherplatz, und je nach Cloud-Provider grundlegende Sicherheitsfunktionen (Firewall und Netzwerk-Isolierung).
Die Wahl des Cloud-Provider sollte nach dem erfolgen, was er genau anbietet, wo die Server untergebracht sind und welche anderen Geschäftsbereiche er unterhält. Wenn etwa Kolokation erlaubt ist, muss bedacht werden, welche physischen Sicherheitsvorkehrungen in diesem Rechenzentrum herrschen – Benutzer, die Kolokation nutzen, besuchen oft das Rechenzentrum und könnten so physischen Zugang zu fremden Rechnern erlangen.
Die Geographie spielt auch eine Rolle: In manchen Ländern herrschen vielleicht weniger strenge Sicherheitsbestimmungen als in Deutschland, und die Speicherung von Kundendaten auf solchen Servern könnte unabsehbare Folgen haben. Besonders jetzt eine aktuelle Fragestellung. Ebenso muss dafür gesorgt werden, dass die Festplatten tatsächlich zerstört werden, wenn sie ausgetauscht werden. Wenn nicht, werden Sicherheitskopien eventuell in wiederherstellbarer Form entsorgt.
Bedrohungen für die Privatsphäre sind nicht das einzige Problem bei der Auslagerung in die Cloud. Auch die Server im Prinzip ebenso geschützt werden wie jeder andere Rechner auch. Filesharing-Server zum Beispiel müssen über eine Sicherheitslösung verfügen, die Daten noch vor dem Upload scannen und gegebenenfalls verdächtige oder infizierte Dateien blockieren können.
Mitarbeiter schulen, aber nicht blind vertrauen
Am leichtesten wird das Unternehmen geschützt, indem Mitarbeiter über die neuesten Entwicklungen der Branche auf dem Laufenden gehalten werden. Ihnen muss klar sein, dass nichts im Internet so ist, wie es scheint, dass auch nicht-ausführbare Dateien wie PDF-Dateien Malware beinhalten können, dass angebliche Nachrichten von der Unternehmensleitung Betrugsversuche sein können, und dass sie sich telefonisch vergewissern sollten, bevor sie Unternehmensdaten blind an einen Anderen weiterleiten.
Blind vertrauen sollte man Mitarbeitern allerdings nicht, auch wenn sie vorbildlich geschult sind. Selbst der sicherheitsbewussteste Mitarbeiter könnte, gerade bei einem nahenden Fristende, der Bequemlichkeit den Vorzug vor der Sicherheit geben. Es liegt im Interesse des Unternehmens, dafür zu sorgen, dass die nötigen Sicherheitsrichtlinien eingehalten werden, dass Passwörter sicher genug sind und oft genug geändert werden.
- IT-Security für den kleinen Geldbeutel
- BYOD – populär aber gefährlich
Lesen Sie mehr zum Thema
