Sicherheitskonzept: Der Chef macht es schließlich auch

    Warum ein Bewusstsein für sicheren Dokumentenaustausch im Unternehmen geschaffen werden muss

    Thomas Deutschmann, CEO, Brainloop AG - 3

    Interview mit Thomas Deutschmann, CEO bei Brainloop

     

    Wer sich mit verschiedenen Kommunikationspartnern abstimmen muss, schickt ohne groß zu reflektieren eine Nachricht an das Team. Auch sensible Daten wie Verträge oder Firmenkennzahlen werden auf diese Weise sorglos und unverschlüsselt per E-Mail versendet … Diese Szenarien sind nach wie vor gängige Praxis, wie eine aktuelle Studie der Deutschen Messe Interactive im Auftrag von Brainloop zeigt [1] – auch wenn die Themen Datenschutz und Informationssicherheit im Bewusstsein der breiten Bevölkerung mittlerweile angekommen sind. Insgesamt wurden in der Studie 304 Entscheider und Entscheidungsvorbereiter aus deutschen, österreichischen, Schweizer (DACH) und englischen Unternehmen (UK) befragt.

    Aus den Ergebnissen der Studie geht zudem hervor, dass für ein funktionierendes Sicherheitskonzept immer das gesamte Unternehmen betrachtet werden muss. Legt das Management die Hände in den Schoß, um die Verantwortung der IT-Abteilung zuzuschieben, kann nur schwer ein Bewusstsein für einen sicheren Dokumentenaustausch im Unternehmen geschaffen werden.

    Herr Deutschmann, die Umfrage kommt zu dem Ergebnis, dass für den Schutz vertraulicher Informationen in DACH-Unternehmen zu 66 Prozent die IT-Abteilungen zuständig sind. Was ist gefährlich daran?

    IT-Verantwortliche können moderne Software und ein gutes Sicherheitssystem zur Verfügung stellen, umgesetzt und verantwortet werden die Vorgaben jedoch an anderen Stellen im Unternehmen. Nimmt die Geschäftsführung Sicherheitsbedenken nicht ernst oder reagiert sie zu spät, sind der IT-Abteilung die Hände gebunden. Verantwortliche in Fachabteilungen und sogar der Vorstand müssen konkrete Maßnahmen treffen und mit gutem Beispiel vorangehen. Doch die Umfrage zeigt, dass nur in etwa 18 Prozent der Fälle die Fachabteilung eingebunden ist, in lediglich acht Prozent die Geschäftsführung selbst.

    Angesichts steigender Gefahren durch die große Zahl an Endgeräten und einem unsicheren Datenaustausch ist es aber wichtig, dass Unternehmen ihre Mitarbeiter für Risiken sensibilisieren und ihnen sichere Anwendungen zur Verfügung stellen. Mitarbeiter dürfen gar nicht erst in Versuchung geraten, aus Zeitnot oder Bequemlichkeit auf populäre, aber unsichere Anwendungen zurückzugreifen. Das bedeutet, dass Werkzeuge des Unternehmens alle wichtigen Anforderungen von Mitarbeitern auf eine komfortable und flexible, aber sichere und verlässliche Weise erfüllen müssen. Diese Entscheidungen können in den IT-Abteilungen getroffen werden, müssen jedoch auch von höherer Stelle konsequent umgesetzt werden.

    Rund 61 Prozent der in der DACH-Region Befragten schätzen das wirtschaftliche Schadenpotential beim Verlust von vertraulichen Daten als hoch ein. Gehen Sie demzufolge von einem gestiegenen Bewusstsein für Sicherheitsthemen aus?

    Andersherum betrachtet sind es immer noch 39 Prozent, die das wirtschaftliche Schadenpotential beim Verlust von vertraulichen Dokumenten als nicht all zu hoch einschätzen. Das sind 39 Prozent zu viel. Die meisten sensiblen Daten oder das Know-how eines Unternehmens wie Finanzkennzahlen, Konstruktionsdaten oder Verträge werden immer noch viel zu oft einfach per E-Mail übermittelt. Dabei gehört das Ausspionieren solcher Nachrichten für Hacker mittlerweile zu den leichtesten Übungen.

    Nach großen Medienlawinen wie im Fall der Safe-Harbour-Entscheidung des EuGH steigt aber nun tatsächlich die Wahrnehmung für IT-Sicherheitsthemen auch in der breiten Bevölkerung. Meistens werden diese Bedenken aber leider schnell wieder verworfen. Gehen Vorgesetzte dann noch mit schlechtem Beispiel voran, ist die Versuchung noch größer, das Dokument eben doch schnell per E-Mail zu versenden.

    Sie raten zu einem sicheren Dokumentenaustausch. Sind die meisten gängigen Consumer-Filesharing-Dienste nicht ohnehin bereits in Unternehmen verboten?

    Auch hier muss differenziert betrachtet werden. Aus Sicherheits- und Compliance-Gründen stellen Dienste wie Dropbox ein erhebliches Risiko dar und sind in diesem Sinne tatsächlich „verdächtig“. So ist selten ersichtlich, in welchem Rechenzentrum beziehungsweise Rechtsgebiet die Dateien landen. Der Anwender weiß also letztlich nicht, welcher Gesetzgebung sein Dienstleister unterliegt und welchen Behörden der Provider Einblick in die gespeicherten Daten geben muss.

    Tatsächlich belegt die von uns beauftragte Studie, dass rund 63 Prozent der DACH-Unternehmen keine Nutzung von Consumer-Filesharing-Lösungen erlauben. Das ist keine schlechte Quote, bedeutet aber auch, dass etwa ein Drittel der Unternehmen sie toleriert. Verlässt ein Mitarbeiter das Unternehmen oder besteht der Verdacht auf einen Missbrauch, gibt es bei der Datenablage in so einer Cloud-Lösung kaum eine Handhabe. Vordefinierte und legale Audit-Prozesse, mit deren Hilfe Daten im Unternehmen bleiben müssen, greifen in diesem Fall nicht. Doch selbst wenn derartige Consumer-Filesharing-Dienste in Unternehmen untersagt wurden, ist hier noch kaum etwas erreicht. Es muss eine sichere Alternative ins Leben gerufen werden.

    Diese Alternative wäre?

    Die einfachste Möglichkeit für einen geschützten Informationstransfer sind Collaboration-Plattformen wie unser Secure Dataroom oder Dox Drive. Sie sind auf den Einsatz im Unternehmen zugeschnitten und ermöglichen den sicheren Dokumentenaustausch mit wechselnden Teammitgliedern im Unternehmen und darüber hinaus. Mit Hilfe entsprechender Client-Applikationen werden Daten sicher und synchron auf allen Endgeräten abgelegt. So wird ein Austausch mit externen Dienstleistern, aber auch die Zusammenarbeit im Team denkbar einfach und es bedeutet praktisch keinen Mehraufwand für Nutzer. Da nur Links versendet werden, die eigentlichen Dokumente jedoch auf dem Server verbleiben, hält sich auch der Daten-Traffic per E-Mail in Grenzen. Auf diese Weise wird auch das Storage-System des Unternehmens nicht mit dutzenden, identischen Dateien belastet.

    Bei der Auswahl eines passenden Systems sollten jedoch einige Kriterien dringend beachtet werden – dazu zählen Sicherheitsaspekte, intuitive Bedienbarkeit und die Kompatibilität mit gängigen Betriebssystemen. Es versteht sich von selbst, dass Sicherheitsaspekte bei Collaboration-Plattformen an erster Stelle stehen müssen. Da jedoch auch das beste Sicherheitskonzept nur dann aufgeht, wenn es im Alltag genutzt wird, sollte die Software zudem einfach und komfortabel zu bedienen sein.

    Von zentraler Bedeutung ist auch, was mit den Daten im Anschluss passieren darf. Wie kann der Zugang zu den Dokumenten geregelt werden?

    Mehrere Berechtigungsstufen helfen hier, Dokumente zu sichern und den Überblick zu behalten, also etwa über Lesezugriffe, Erlaubnisse zum Bearbeiten von Inhalten eines Ordners und Ernennungen zum Co-Owner. Mit diesem Berechtigungskonzept ist es auch möglich, einen Ordner mit weiteren Nutzern zu teilen. Dabei besteht zusätzlich die Möglichkeit, diese Ordner oder Links per Zwei-Faktor-Authentifizierung mit einer SMS-PIN zu schützen.

    Letztendlich gibt es zahlreiche Funktionalitäten, die am Ende eine gute Collaboration-Plattform auszeichnen. Doch entscheidend ist, dass das Bewusstsein für einen sicheren Austausch mit Kollegen und Externen geschärft wird. Dabei reicht es schlichtweg nicht, dass die IT Ihren Job erledigt hat. Solange Führungskräfte nicht mit gutem Beispiel vorangehen, haben alle anderen Instanzen keine Rückendeckung.

    Herr Deutschmann, haben Sie vielen Dank für diese wichtigen Hinweise und Informationen.

    www.brainloop.com

    Brainloop ist einer der führenden Lösungsanbieter für die bereichsübergreifende Zusammenarbeit mit vertraulichen Informationen und Dokumenten innerhalb von Unternehmen sowie mit externen Partnern. Mit Brainloop Secure Dataroom und Brainloop Dox bietet das Unternehmen hochsichere Cloud-basierte Lösungen, die die revisionssichere Einhaltung von gesetzlichen Vorgaben sowie Compliance Policies unterstützen. Die Brainloop AG mit der Zentrale in München und Standorten in Österreich, der Schweiz, Frankreich und Großbritannien wurde im Jahr 2000 gegründet.

     

    Referenzen

    [1] https://www.brainloop.com/de/news-events/aktuelles/artikel/article/geistiges-eigentum-deutscher-firmen-auf-dem-praesentierteller/