1. Sep 2021
|
Business
„Das Umdenken findet nur langsam statt“
Journalist: Armin Fuhrer
„Das Homeoffice stellt große Anforderungen an die IT-Sicherheit von Unternehmen dar“, sagt Prof. Dr. Dirk Loomans, Partner Security Consulting bei KPMG.
Prof. Dr. Dirk Loomans, Partner Security Consulting bei KPMG; Foto: Presse
Auch nach der Pandemie werden viele Angestellte in deutschen mittelständischen Unternehmen zumindest teilweise weiterhin im Homeoffice oder remote arbeiten. Stellt das für die Cybersecurity eine Herausforderung dar?
Ja klar, und das fängt schon bei der Organisation an. Wenn ich nicht mehr im Büro arbeite, muss ich viel mehr telefonieren, auch mit Kollegen in meinem Unternehmen. Und wenn ich mobil angerufen werde, kann ich oft gar nicht nachvollziehen, mit wem ich eigentlich gerade spreche. Das nutzen immer mehr Verbrecher aus, indem sie sich als jemand anderes, zum Beispiel als Büroleiter des CEO, ausgeben, um so an unternehmensinterne Informationen zu kommen oder die Überweisung hoher Summen zu veranlassen. Zusätzlich ist die Vermischung von Privatem und Dienstlichem sehr gefährlich. Im Homeoffice erledigt man manche beruflichen Dinge auch mal auf privaten Geräten, das sollte aber niemals geschehen.
Ist es nicht auch schwieriger, die Sicherheitsmaßnahmen auf den Rechnern im Homeoffice stets auf dem neuesten Stand zu halten?
Das ist eine der wichtigsten Maßnahmen und eine große Herausforderung für die IT-Abteilungen. Rechner müssen immer auf dem neuesten Stand der Sicherheit sein. Das ist nicht ohne weiteres machbar. Man muss testen, testen, testen. Wenn Rechner aber nicht im Unternehmensnetz angeschlossen sind, werden Sicherheitsupdates nicht eingespielt. Und dann besteht die Gefahr, dass sie sich eine Schadsoftware einfangen oder es zu anderen Problemen kommt. Ein Rechner, der eine Zeit nicht mit dem Unternehmensnetz verbunden war, sollte eventuell erst einmal in Quarantäne laufen und überprüft werden. Und wenn eine Bedrohung gefunden wurde, muss nach dem Grund geforscht werden. Wenn nicht alle Computer in einem Netz an-geschlossen sind, ist diese Analyse aber noch einmal viel schwieriger als ohnehin schon.
Kann auch das Arbeitsumfeld eine Gefahr darstellen?
Ja. Der Arbeitgeber kann nicht nachvoll-ziehen, in welchem Umfeld seine Angestellten im Homeoffice arbeiten. Haben sie zum Beispiel ein eigenes Arbeitszimmer Zuhause oder arbeiten sie am Küchentisch? Gibt es vielleicht spielende Kinder, die in einem unbeaufsichtigten Moment am Laptop herumspielen? Wer kann eventuell Firmendaten einsehen? Wie wird der Abfall wie ausgedruckte Unterlagen entsorgt? Wenn Angestellte remote, zum Beispiel im Café, arbeiten, sind die Gefahren noch größer. Ich befürchte, viele Mitarbeiter machen sich über solche wichtigen Fragen keine oder nur wenige Gedanken – und das stellt ein Sicherheitsrisiko für ihre Unternehmen dar.
Haben sich Gefahren für die Cyber-Sicherheit bei den Entscheider:innen schon ausreichend herumgesprochen?
Ich befürchte, da stehen wir noch ziemlich am Anfang. Die Entscheider:innen glauben oft, die Gefahr eines Cyber-Angriffs ist gering und wir Menschen reagieren nun einmal auf unwahrscheinliche Gefahren nicht oder nicht ausreichend. Das Problem ist, dass die Gefahr leider sehr real ist. Wir sehen derzeit eine große Zahl an Vorfällen mit Ransomware-Attacken, die mit einer guten Vorsorge in den meisten Fällen hätten verhindert werden können. Aber viele der Betroffenen haben eben geglaubt, dass die Gefahr an ihnen vorbeigehen werde, bis es schließlich zu spät war. Jetzt stellen aber immer mehr Entscheider:innen fest, dass es in ihrer Umgebung immer mehr Einschläge gibt, und daher wird die Bedrohung konkreter. In dieser Situation fangen die Unternehmen allmählich an, sich mehr Gedanken über die Gefahren zu machen.
Es ist also bei den Führungskräften eine Änderung in den Köpfen notwendig?
Ja. Aber leider findet diese Änderung nach wie vor sehr langsam statt. Erst wenn es einen konkreten Auslöser gibt, geht es immer sehr schnell, vorher nicht. Man kann deutschen Manager:innen nicht vorwerfen, dass sie sich nicht schnell auf neue Situationen einstellen können, aber sie brauchen eben oft erst einen heilsamen Schock. Dieser Schock kann aber sehr teuer werden und Sicherheitsleuten wie mir tut das in der Seele weh, denn die Unternehmen könnten sehr viel Geld sparen, wenn sie proaktiv wären. Nicht wenige betroffene Unternehmen sind nach einer Attacke wochenlang nicht in der Lage, vernünftige Geschäftsbeziehungen herzustellen.
Zu 100 Prozent kann man einen Schaden aber nicht ausschließen, oder?
Nein, auch wenn man durch entsprechende Maßnahmen deutlich besser geschützt ist, kann man einen Angriff natürlich nicht völlig ausschließen. Selbst über den höchsten Zaun steigt irgendwann mal einer drüber oder er schneidet ein Loch rein. Aber wenn die Resilienz eines Unternehmens durch entsprechende Maßnahmen gestärkt ist, können die Folgen eines Angriffs erheblich leichter beherrscht und beseitigt werden.
Müssen die Entscheider:innen also mehr auf ihre Sicherheitsexpert:innen hören?
Ja. Diese Sicherheitsexpert:innen brauchen ein ganz anderes Standing im Unternehmen. Sicherheit muss als Führungsaufgabe gesehen und so müssen auch die Expert:innen aufgestellt werden. Die Führungskräfte dürfen ihre Sicherheitsleute nicht nur als lästige Anhängsel betrachten, sondern als Mitarbeiter:innen, die zu den wichtigsten überhaupt zählen. Sie müssen die Möglichkeit haben, den Vorstand über Probleme und Maßnahmen zu informieren. Allerdings geht mein Appell auch an die Expert:innen. Sie müssen sich einem Vorstand gegenüber auf eine Weise äußern, dass dieser das auch in seiner begrenzten Zeit, die er nun mal zur Verfügung hat, verstehen kann. Da sehe ich oft auch ein Problem. Die Führungskraft benötigt kompakte, verständliche Informationen, auf deren Basis sie die notwendigen Entscheidungen treffen kann.
