Themen wie die neue Datenschutzgrundverordnung (DSGVO) stellen immense Unterweisungspflichten und damit Arbeitgeber und Arbeitnehmer vor immer größere Herausforderungen: Die Pflichten, Mitarbeiter in den Bereichen wie Datenschutz und IT-Sicherheit fortwährend weiterzubilden, stehen immer knapperen Ressourcen gegenüber.
Doch in einer Zeit der Digitalisierung, in der immer mehr neue und bereits bestehende Produkte und Dienstleistungen online vernetzt sind, können sich Unternehmen Schwachstellen in den Bereichen Informations- und Datensicherheit kaum erlauben. Auch das Bundesamt für Sicherheit in der Informationstechnik reagierte bereits und lud unter dem Motto „Deutschland. Digital. Sicher.“ zum ersten Symposium ein, in dem unter anderem hinterfragt wurde, wie die Unternehmen mit geeigneten Strategien auf die aktuelle Bedrohungslandschaft durch die fortschreibende Digitalisierung und das Internet der Dinge reagieren. Fakt ist: Mit der digitalen Transformation steigt auch die Angriffsfläche für Cyber-Kriminelle.
Dabei kann schon eine allgemeine Aufklärung der Arbeitnehmer zum Thema IT-Sicherheit als wirksamer Schutzmechanismus dienen.
Florian Jörgens, Dozent am IST-Studieninstitut für die Weiterbildung IT-Sicherheit, arbeitet bei E.ON und ist dort verantwortlich für die Informationssicherheit des gesamten deutschen Vertriebs. Für das IST gibt der Experte wichtige Tipps zum Thema „IT-Sicherheit der Unternehmen“.
Ist IT-Sicherheit außerhalb der IT-Organisation ein Thema?
Ein sehr großes sogar. Die IT-Organisation weiß aufgrund des fachlichen Backgrounds, wie einfach es ist, Systeme zu kompromittieren und hat in der Regel ein höheres Bewusstsein für das Thema IT-Sicherheit. In den Fachbereichen, dort wo die schützenswerten Informationen verarbeitet werden, muss Aufklärungsarbeit geleistet werden. Wichtig ist es hierbei, die Mitarbeiter nicht im operativen Geschäft einzuschränken oder auszubremsen, sondern praktikable Werkzeuge und Möglichkeiten an die Hand zu geben, ihre tägliche Arbeit sicher aber gleichzeitig auch produktiv durchführen zu können.
Ist IT-Security ein Outsourcing-Thema?
Hierbei muss man differenzieren. Grundsätzlich ist es heutzutage durchaus sinnvoll, bestimmte Aufgabenbereiche an externe Spezialisten auszulagern. Dazu zählen beispielweise Rechenzentren, Security Operations Center (SOC) und gegebenenfalls sogar die Netzwerk-Administration. Dennoch sollte sich bewusstgemacht werden, dass zwar die Verantwortlichkeit aber nicht die Verantwortung an sich delegierbar ist. Dies bedeutet, dass ich als Unternehmen auch meine Vertragspartner wie beispielsweise Zulieferer und Dienstleister kontrollieren muss, sobald diese mit meinen Informationen arbeiten. Durch die Einführung der DSGVO wurde diese Notwendigkeit noch verstärkt. Die Verantwortung über meine Informationen bleibt im eigenen Unternehmen.
Wie halten es Unternehmen mit Business Continuity Management (BCM)?
Business Continuity Management, also der ganzheitliche Managementprozess, der Bedrohungen auf die Geschäftstätigkeit eines Unternehmens identifizieren soll, ist in Unternehmen sehr unterschiedlich. Durch meine Zeit als IT-Auditor bei PricewaterhouseCoopers hatte ich die Möglichkeit, unterschiedliche Unternehmen kennenzulernen. Angefangen vom Start-up mit 20 Mitarbeitern über den Mittelstand bis zum DAX-Konzern wird das Thema Business Continuity Management sehr unterschiedlich gelebt. Erfahrungsgemäß gab es hier immer zwei große Versäumnisse.
Erstens: Bei der eigentlichen Erhebung bzw. Risikoanalyse nehmen sich die Fachbereiche entweder zu wichtig und bewerten ihre zeitlichen Ausfall- und monetären Grenzen als zu radikal – oder viel zu niedrig. Hier ist es notwendig, dass das Risiko-Management, die IT und die Fachbereiche an einen Tisch geholt werden.
Und zweitens: Audit der Notfall-Prozesse. Ich habe viele BCM-Pläne gesehen, deren tatsächliche Wirksamkeit nie unter realen Umständen getestet wurde. Dabei ist es wichtig, sich bewusst zu machen: Als theoretischer Plan funktioniert vieles. Sobald aber die ersten Systeme und Prozesse tatsächlich ausfallen und Kunden sich beschweren, führt dies zu Stress. Und der Mensch neigt dazu, nicht mehr rational zu denken.
Wem empfehlen Sie eine Weiterbildung im Bereich IT-Sicherheit?
Heutzutage ist es normal, permanent einen Computer in Form eines Smartphones bei sich zu haben. Damit werden Überweisungen getätigt, sensible E-Mails verschickt und private Informationen in sozialen Netzwerken verbreitet. Dass es sich hierbei aber um ein Gerät handelt, das jederzeit mit leicht erlernbaren Handgriffen angegriffen werden kann, wird dabei oft ignoriert. Vermutlich hat jeder sich schon Mal einen Virus oder Ähnliches eingefangen und ist damit de facto bereits Opfer eines IT-Angriffs geworden. Insofern ist ein gewisses Basis-Verständnis zu dem Thema IT-Sicherheit für jeden relevant. Eine solche Weiterbildung vermittelt demnach nicht nur Wissen, das im beruflichen Umfeld eingesetzt werden kann, sondern auch im privaten eine große Bereicherung darstellt.
Auf unserer Webseite finden Sie ausführliche Informationen zur Weiterbildung IT-Sicherheit.