Datensicherheit wie Gesundheit: Alle wollen sie – aber möglichst ohne Anstrengung

Dirk Pinnow, Herausgeber von datensicherheit.de, plädiert vor Deutschem Expertenrat für Besuchersicherheit zur Übernahme von Verantwortung für virtuelles Vermögen wie bisher für materielle Aktiva

[datensicherheit.de, 21.03.2023] Mit seinem „BERLINER SICHERHEITSGESPRÄCH“ (BeSi) am 20. März 2023 in der AXICA Berlin am Pariser Platz mit dem Titel „1 – 2 – 3 – 4 – 5 – 6 – FAILED – Sicherheit für temporäre IT-Strukturen bei Veranstaltungen“ präsentierte der Deutscher Expertenrat für Besuchersicherheit (DEB) seinen Mitgliedern vor Ort und online ein „Panel-Talk“ zur Datensicherheit. Die Moderation übernahm Olaf Jastrob, 1.Vorsitzender des DEB. Pinnow setzte seinen Impuls mit dem Titel „1 – 2 – 3 – safed & secured…“ unter einen Dreiklang und stellte drei Thesen auf: 1. Datensicherheit geht uns alle an! 2. Datensicherheit ist „Chefsache“! 3. „Datensicherheit“ statt „IT-Sicherheit“!

Foto: DEB

Auf dem BeSi-Podium (v.l.n.r.): Dirk Pinnow, Olaf Jastrob, Andreas Grunszky

Datensicherheit als stets aktuelle Herausforderung für alle IT-Nutzer

Davon ausgehend, dass alle Teilnehmer des Abends regelmäßig E-Mail verwenden, brachte er ein einfaches Beispiel, um die zunehmende Gefahr zu veranschaulichen: Anhand eines realen gefälschten DHL-Posteingangs bei seinen E-Mails zeigte er auf, woran sich solche Fälschungen heute noch zumeist leicht erkennen lassen. Er betonte aber, dass die Fälschungen immer besser werden und insbesondere unter Zeitdruck die Neigung besteht, dann doch auf einen Link oder einen Anhang einer solchen dubiosen E-Mail zu klicken.

„Lassen Sie sich nie unter Termindruck setzen oder von absurd hohen bzw. niedrigen Geldforderungen beeindrucken!“, riet Pinnow. Es sollte stets geprüft werden, ob ein E-Mail-Eingang mit Link und/oder Attachment wirklich plausibel ist. Er gab ferner die Empfehlung, wenn vermeintlich das eigene Kreditinstitut oder Lieferanten/Dienstleister eine dringlich anmutende E-Mail schicken, eben besser nicht über die E-Mail auf die Website zu gehen, sondern das jeweilige Web-Account über den Browser direkt durch Eintippen der URL aufzurufen, sich einzuloggen und dann dort den Posteingang zu prüfen.

Datensicherheit als Vermögensschutz und damit als Chefsache

Anhand des Begriffs „virtuelles Vermögen“ (z.B. Kundenstamm- bzw. Projekt-/Prozessdaten, Schutzmarken, Web-Domains, Lizenzen, Patente, Know-how usw.) erläuterte Pinnow, dass dieses im 21. Jahrhundert oft mehr über den Wert eines Unternehmens und sein Wertschöpfungspotenzials aussagt als die traditionelle Bilanzsumme (z.B. mit Mobiliar, technischer Ausrüstung und Fuhrpark). Vermögensschutz sei nun grundsätzlich „Chefsache!“ – und deshalb gelte es, sich als Entscheider verantwortungsvoll auch dieser immateriellen Werte zu widmen.

In diesem Zusammenhang empfahl er, eine betriebliche Checkliste zu erstellen. Zu dieser gehören etwa eine Daten-Inventur (Erfassung der Datentypen und -mengen), eine Daten-Klassifizierung (Bewertung der Daten nach Nützlichkeit von „existenziell wichtig“ über „nützlich“ und „evtl. potenzialreich“ bis hin zu „entbehrlich“ / „Müll“). Zudem sollten sich alle Entscheider Gedanken über das Daten-Rechtemanagement machen (wer darf wann, wo und wie auf betriebliche Daten zugreifen?). Ferner unterstrich er die Notwendigkeit, eine erprobte Notfall- und Wiederanlaufplanung im Kontext der Datensicherheit vorzuhalten – insbesondere im Zusammenhang mit sogenannten Ransomware-Attacken könnte ein funktionierendes BackUp-System über den Fortbestand der eigenen Existenz entscheiden.

Datensicherheit muss Teil ganzheitlicher betrieblicher Sicherheitskultur sein!

Da „Daten-Müll“ für Gegner und Konkurrenten eine Daten-und Informationsquelle sein könnte und das Blatt Papier A4 (80g/m²) wohl noch lange ein wichtiger Datenträger in den Unternehmen sein wird, sei es wichtig, sich nicht erst um die Sicherheit der Informations- und Kommunikationstechnik Gedanken zu machen, sondern bereits die Daten-Ebene zu sichern und zu schützen. Pinnow erwähnte die „Dreieinigkeit“ der Schutzziele der Datensicherheit: Verfügbarkeit (Soft-/Hard-/Orgware), Integrität (nur berechtigte Veränderung) und Vertraulichkeit (Autorisierung des Zugriffs / Leserechtes).

Abschließend legte er dem Auditorium nahe, nicht allein auf technische und organisatorische Aspekte zu fokussieren, sondern auch den „Faktor Mensch“ gebührend zu beachten: Denn die Abkürzung „IT“ steht leider nicht selten für „Interner Täter“ – dieser kann im Einzelfall kriminell sein, häufiger indes lethargisch / fatalistisch (in „innerer Kündigung“) und manchmal auch übereifrig (s. BYOD-Problematik, d.h, Nutzung privater IT für betriebliche Zwecke). Mit der Datensicherheit sei es wie mit der eigenen Gesundheit – kaum jemand möchte sich dafür anstrengen… Aber so Pinnow: „Datensicherheit ohne eine ganzheitliche betriebliche Sicherheitskultur wäre sinnlos!“

Weitere Informationen zum Thema:

Deutscher Expertenrat Besuchersicherheit auf YouTube, 20.03.2023
1 – 2 – 3 – 4 – 5 – 6 – FAILED – Sicherheit für temporäre IT-Strukturen bei Veranstaltungen (Start bei 3:47)