Hacks und Datenpannen sind Gefahren für alle Unternehmen

Tresorit gibt Empfehlungen zur Vermeidung von Risiken im Büroalltag

[datensicherheit.de, 30.03.2016] Verbraucher denken bei „Hacks“ und Datenpannen zuerst oft an Online-Anbieter und IT-Firmen; dabei belegen zahlreiche Beispiele, dass es jedes Unternehmen treffen kann – egal aus welcher Branche. Hacker und Datendiebe haben es nicht immer nur auf Kundendaten abgesehen, sondern oft auch auf Finanzdaten, Strategiepapiere, Patente und Konstruktionspläne, aber auch auf das Preismanagement oder Personaldaten, und manchmal auch einfach nur darauf, möglichst großen Schaden anzurichten. Die Folgen solcher Angriffe reichen von kleineren PR-Krisen über Insolvenz bis hin zu lebensgefährlichen Systemstörungen und können dabei nicht nur das Unternehmen selbst, sondern auch Mitarbeiter, Geschäftspartner oder Kunden treffen. Das Sicherheitsteam von Tresorit gibt in einer aktuellen Aussendung Hinweise zu typischen Schwachstellen in Büroabläufen und zu deren Abhilfe.

Handhabung vertraulicher Daten als E-Mail-Anhang

Es kommt häufig vor, dass im stressigen Büroalltag eine E-Mail den falschen Empfänger erreicht oder vertrauliche Firmendokumente im Posteingang des eigenen Smartphones gelesen werden, zu dem z.B. auch „fragwürdigen Fitness-Apps“ Zugriff auf Daten gewährt wird. Es gebe viele Wege, ein E-Mail-Account zu hacken; die wichtigsten Schutzmaßnahmen seien bekannt – gutes Passwort, Zwei-Stufen-Verifizierung, Vermeidung von Logins auf fremden Geräten. Trotzdem lasse sich mehr tun, betont Tresorit:
Anstelle des Anhangs sollte lediglich ein Link zu einem geschützten Cloud-Server oder ein passwortgeschützer, verschlüsselter Downloadlink versendet werden – so lasse sich sicherstellen, dass Dokumente nur von Personen geöffnet werden können, für die sie bestimmt sind. Wer keinen Zugriff auf den sicheren Server hat, könne auch nichts mit der gehackten oder fehlgeleiteten E-Mail anfangen.

Warnung vor dem Teilen von Accounts

Eine große Sicherheitslücke in Unternehmen sind Passwörter; vor allem dann, wenn sich mehrere Kollegen ein Passwort für einen Zugang teilen. Denn oftmals seien geteilte Passwörter auch simpler als sie sein sollten und würden auch nicht zwangsläufig geändert, wenn z.B. ein Praktikant das Unternehmen verlässt. Sicherheitsforscher haben laut Tresorit herausgefunden, dass bei Millionen von gestohlenen Daten das am häufigsten verwendete Passwort „123456“ sei.
Eine erste Schutzmaßnahme gegen diese Schwachstelle sei natürlich, Passwörter nicht öffentlich zugänglich zu machen und komplexer zu gestalten. Zudem sei es ratsam, den Zugang zu Firmenkonten lediglich auf diejenigen Kollegen zu beschränken, die diesen auch tatsächlich zur täglichen Arbeit benötigen. Unternehmen sollten zudem in eigene Lizenzen für jeden Mitarbeiter investieren, der Zugang zu einem Dienst benötigt, denn Sparen werde sonst schnell zum Sicherheitsrisiko.

Vertraulichkeitsstufen einführen!

Vertrauen in die eigenen Mitarbeiter sei gut und wichtig, und in jeder E-Mail Viren, Trojaner oder Phishing zu vermuten, würde das Tagesgeschäft jedes Unternehmens zum Erliegen bringen. Es könne in vielen Fällen indes helfen, so Tresorit, Vertraulichkeitsstufen für verschiedene Dokumente und Informationen einzuführen. Denn wenn alles „streng vertraulich“ sei, nehme es bald niemand mehr ernst. Wenn jedoch festgelegt sei, dass ab bestimmten größeren Transaktionsvolumen oder für bestimmte Kennzahlen zusätzliche Vorsicht geboten sein müsse, blieben Vorsichtsmaßnahmen praktikabel.
Außerdem sei es notwendig, bei den Mitarbeitern die Sensibilität für bestimmte Sicherheitsrisiken zu schulen. Wenn dem Team gezeigt werde, wie schnell eine E-Mail-Adresse im Namen anderer aufgesetzt werden könne, würden auch weniger arglos wichtige Informationen an scheinbar private E-Mail-Adressen bekannter Klienten gesendet oder Dateianhänge aus diesen E-Mails geöffnet. Der Datenaustausch mit Diensten auf Basis einer zweistufigen Identitätsverifizierung aller Beteiligten schaffe ebenfalls Abhilfe.

Ausscheiden von Mitarbeitern als Risiko für die Datensicherheit

Eine Sicherheitsschwachstelle, die oft nicht ausreichend bedacht wird, ist der Weggang von Mitarbeitern, denn nicht immer trennen sich die Wege von Unternehmen und Arbeitnehmern einvernehmlich. Dies, so warnt Tresorit, bringe Daten, auf welche diese ehemaligen Mitarbeiter Zugriff hatten, in Gefahr. Gehe der Kollege auch noch direkt zur Konkurrenz, könnten sensible Unternehmensinterna wie Produktentwicklungen oder auch Marktstrategien dort sehr interessant werden. Auch hierzu könne es helfen, Datenzugriff für die Mitarbeiter auf das jeweils notwendige Maß zu beschränken. Cloud-Lösungen für die Datenverwaltung, die digitale Rechteverwaltung (DRM) ermöglichen, könnten Unternehmen dabei unterstützen. DRM bedeute zum Beispiel, dass das Speichern von Kopien, Screenshots, Drucken oder das Öffnen von bürofremden Geräten blockiert werden könne. Zugangsrechte könnten dann auch noch nachträglich entzogen werden. Dies sollte fester Teil der Abwicklung eines Arbeitsverhältnisses in jeder Personal- und IT-Abteilung sein.
Unternehmen sollten zudem unbedingt prüfen, wie ihre Dienstleister mit sensiblen Daten umgehen und gegebenenfalls auf die Einführung vergleichbarer Sicherheitsmaßnahmen pochen. Dies gelte übrigens auch bei der Wahl des Cloud-Anbieters. Sichere Dienste verschlüsselten alle Daten mit Ende-zu-Ende-Verschlüsselung so, dass selbst die Administratoren des Drittanbieters keinen Zugriff auf die betreffenden Dateien hätten.