In der Informationssicherheit gibt es unzählige Maßnahmen, Frameworks, Tools und Methoden. Wer sich in der Fachliteratur oder auf Messen umschaut, könnte glauben, dass es für jedes Risiko ein eigenes, hochspezialisiertes Werkzeug gibt – und dass man am besten alles gleichzeitig einführt. In der Realität haben Unternehmen jedoch begrenzte Ressourcen. Zeit, Budget und personelle Kapazitäten sind endlich. Deshalb ist die entscheidende Frage: Welche Maßnahmen bringen tatsächlich den größten Sicherheitsgewinn? Die Antwort darauf ist nicht immer offensichtlich, denn nicht alles, was technisch beeindruckend klingt, wirkt auch im Alltag nachhaltig. Wirkungsvolle Sicherheitsmaßnahmen sind solche, die messbar Risiken reduzieren, praxistauglich sind und langfristig Bestand haben. Sie kombinieren technische, organisatorische und personelle Komponenten – und sie sind so gestaltet, dass sie von den Menschen in der Organisation verstanden, akzeptiert und gelebt werden.

Risikobasierter Start: zuerst verstehen, dann entscheiden

Ein zentrales Merkmal wirksamer Sicherheitsmaßnahmen ist ihr Bezug zu konkreten Risiken. Sicherheitsarbeit beginnt nicht mit dem Einkauf neuer Technologie, sondern mit einer sauberen Risikoanalyse. Diese zeigt, welche Bedrohungen für die eigenen Systeme, Daten und Prozesse tatsächlich relevant sind. Erst danach sollte entschieden werden, welche Maßnahmen am besten geeignet sind, diese Risiken zu reduzieren. Wer ohne diese Grundlage agiert, läuft Gefahr, Ressourcen in Schutzmechanismen zu investieren, die zwar modern wirken, aber an den tatsächlichen Schwachstellen vorbeigehen. Das klassische Gegenbeispiel: Ein Unternehmen investiert in eine teure KI-gestützte Angriffserkennung, übersieht aber, dass sensible Daten unverschlüsselt in einer Cloud gespeichert werden. Das ist, als würde man eine Alarmanlage installieren, aber die Haustür unverschlossen lassen.

Bring Your Own Device ist derzeit sehr beliebt, aber nicht immer ganz unkompliziert für Unternehmen. Aber doch ist es möglich, seine Arbeitgeber glücklich zu machen, wenn diese die privaten mobilen Endgeräte mit zum Arbeitsplatz bringen möchten. Heute ist es sogar so, das viel Firmen den eigenen Nutzen für sich sehen, wie dass der Mitarbeiter dafür rund um die Uhr erreichbar ist oder aber, dass man nicht jeden neuen Mitarbeiter auch Geräte anbieten muss.

Oft ist es so, dass BYOD noch rechtliche Grauzonen mit sich bringt, die man aber umgehen kann, wenn man klare Regeln durch einen Vertrag aufsetzt. Auch muss man sich leider den technischen Voraussetzungen stellen, wenn es um das eigene Firmennetzwerk geht. Aber man braucht hier nicht unbedingt gleich einen neuen Mitarbeiter, sondern kann einen Fachmann mit der Aufgabe betreuen, der genau aufzeigen kann, wie man am sichersten unterwegs ist und wie man was einzustellen hat und was die Mitarbeiter am besten für eine Software nutzen, um das Firmennetzwerk zu schützen. Ob es nun um die Firewall, um das Antivirenprogramm oder mehr geht. Einmal gezahlt, langhaltig sicher. So agieren die meisten Firmen, wenn es nicht durch Zufall einen Mitarbeiter für das Firmennetzwerk und die Sicherheit gibt. Warum jemanden von dem eigenen Personal damit beschäftigen, wenn der Fachmann schnell vor Ort ist und seine Arbeit auch zu 100 Prozent versteht?

Nach einem ersten stark begrenzten Versuch für eine begrenzte Anzahl von Nutzern, hat der populäre Messenger WhatsApp für alle seine Anwender nun eine vollumfängliche Ende-zu-Ende-Verschlüsselung eingeführt. Die aktuelle Version des Messengers verschlüsselt somit nun “jeden Anruf, jede Nachricht, Datei, Sprachnachricht und jedes Foto und Video als Standard” durchgehend vom Absender bis zum Empfänger und kann selbst vom Anbieter nicht eingesehen werden.

Die Firmengründer von WhatsApp Jan Koum und Brian Acton erklären dazu im Firmenblog: “Die Idee ist einfach: wenn Du eine Nachricht sendest, kann diese nur von der Person, an den Du sie sendest, gelesen werden. Niemand kann in diese Nachrichten schauen. Kein Hacker. Keine unterdrückenden Regimes. Nicht einmal wir. Ende-zu-Ende-Verschlüsselung hilft dabei, die Kommunikation über WhatsApp privat zu machen – wie eine Unterhaltung von Angesicht zu Angesicht.”

Immer wieder kommt es zu spektakulären Sicherheitslücken bei der Verwendung von Smartphones. Spätestens, wenn die Daten von zehntausenden Benutzern gehackt werden, sind die Nachrichten voll von entsprechenden Meldungen. Für die betroffenen Smartphonebesitzer hat dies oftmals weitreichende Folgen. Liegen auf dem mobilen Endgerät doch häufig Zugangsdaten zu verschiedenen Emailkonten, die Adressen von Freunden und schlimmstenfalls auch Daten zum Online-Banking. Mit der Einhaltung einiger einfacher Sicherheitsregeln lässt sich der Schaden jedoch erheblich begrenzen oder vermeiden.

Nicht alle Daten gehören aufs Smartphone Auch wenn es bequem erscheint: Zugangsdaten für Onlinebanking oder Bezahldienste sollten nicht auf dem Smartphone gespeichert werden. Besonders hoch ist hier die Gefährdung, wenn diese Daten im Notizbuch abgelegt werden. Dort sind sie für jeden, der auf das Gerät zugreifen kann, ohne Mühe auslesbar. Auch die Browser auf dem Smartphone sollten diese Passwörter nicht speichern, um einen Missbrauch zu verhindern.

BYOD ist ein internationaler Trend, der zunehmend auch in deutschen Unternehmen Einzug hält. Der Begriff bezeichnet den Umstand, dass Mitarbeitern erlaubt wird, anstelle firmeneigener Laptops/Notebooks, Tablet-PCs und Smartphones, private Geräte einzusetzen. Der Trend, Privateigentum zu betrieblichen Zwecken einzusetzen, ist nicht neu. Auch andere Gegenstände werden bereits seit längerer Zeit auf Geheiß des Arbeitgebers dienstlich mitgeführt und eingesetzt. Als Beispiel dient der private PKW, der auch als Dienstfahrzeug eingesetzt wird. In Bezug auf Mobilgeräte ergeben sich jedoch neue rechtliche Fragen, insbesondere aus dem IT- und TK-Recht sowie aus dem Datenschutzrecht.