Der neue Sicherheitsbereich sind wir selbst

Es ist noch gar nicht so lange her, dass Firewalls und Sicherheitsgateways das Herzstück von Sicherheitsinfrastrukturen waren. Wir sahen den Aufstieg von Palo Alto Networks, das uns die nächste Generation der Firewall brachte – eine sehr fortschrittliche Technologie, die sich nach wie vor auf die Sicherung von Netzwerken konzentriert.

Und dann verliebten wir uns in unsere Smartphones und unsere Cloud-Apps und in die bequeme Art und Weise, Dinge zu tun, die früher einmal umständlich waren. Plötzlich ist es einfacher geworden, Daten auszutauschen, an Projekten mitzuarbeiten und jederzeit und überall auf alles zuzugreifen, einschließlich vertraulicher Arbeitsdateien.

Und heute sind diese neuen Technologien nicht mehr neu. Sie sind zu einem festen Bestandteil am Arbeitsplatz geworden. Sie steigern die Produktivität und ermöglichen es den mobilen und weltweit verteilten Mitarbeitern von heute, jederzeit komfortabel zu arbeiten. Mit diesem überall/jederzeit-Zugriff geht jedoch eine signifikante Erhöhung der Verletzungsexpositionspunkte einher.

Die Herausforderungen bei der Bekämpfung des wachsenden Problems der Datenverstöße wurden durch die Tatsache erschwert, dass sich unsere Arbeitsweise dramatisch verändert hat. Wir leben in einer Welt, in der der Unternehmensrand so weit gestreckt ist, dass er nicht mehr existiert.

Wir sind der neue Sicherheitsperimeter

Hacker sind den Trends gefolgt. Während Firewalls der nächsten Generation Schichten und Schichten neuer Technologien zur Gefahrenabwehr hinzugefügt haben, haben Hacker ihren Angriffsvektor geändert, um sich auf uns als Einzelpersonen zu konzentrieren. Wenn Benutzeranmeldeinformationen der Angriffsvektor der Wahl sind, wird klar, dass der neue Sicherheitsbereich wir selbst sind. Wir haben es bei Yahoo nicht nur einmal, nicht zweimal, sondern dreimal erlebt – und bei jedem Datenverlust wurde eine unglaubliche Anzahl von Benutzerkonten kompromittiert. Wir sehen jetzt, dass Unternehmen regelmäßig wegen Datenschutzverletzungen in die Schlagzeilen geraten – Datenschutzverletzungen könnten Hunderttausende oder sogar Millionen von Menschen betreffen. Hacker zielen auf personenbezogene Daten wie Gesundheitsakten und Steuererklärungen, die im Darknet zu hohen Preisen gehandelt werden. Trotz bester Technik gibt es kein Ende der Verstöße.

Interessanterweise können Datenverstöße in den meisten Fällen verhindert oder zumindest begrenzt werden – wenn die Mitarbeiter einfache Schritte unternehmen, um im Umgang mit Unternehmensdaten mehr Sorgfalt walten zu lassen.

Als Mitarbeiter bevorzugen wir eher Komfort als Sicherheit. Das ergibt Sinn: wir alle wollen erfolgreich sein und unsere Arbeit so schnell und effizient wie möglich erledigen. Aber der Preis dafür könnte hoch sein. Als Verbraucher haben wir jedoch in Bezug auf unsere Daten oft andere Instinkte. Wir zögern, bevor wir Sozialversicherungsnummern weitergeben, wir behandeln unsere Steuererklärungen vertraulich und wir stellen sicher, dass unsere Buchhalter eine sichere Kommunikation haben. Mit anderen Worten, wir versuchen, unsere personenbezogenen Daten viel besser zu schützen als Unternehmensdaten, obwohl wir selten die selben Sicherheitswerkzeuge zu Hause haben.

Die Realität ist, dass wir anfangen müssen, mit Unternehmensdaten genauso sorgfältig umzugehen wie mit unseren eigenen Daten. Ob wir es wahrhaben wollen oder nicht, wir sind Konsumenten und Nutzer, und ohne Veränderung unseres eigenen Verhaltens wird irgendwann die Identity eines jeden Nutzers enthüllt.

Zu den Waffen

Wenn wir selbst der neue Sicherheitsbereich sind, wie kann ein Unternehmen dann seine vertraulichen Informationen schützen, wenn es nicht die volle Unterstützung aller Mitarbeiter im gesamten Unternehmen hat? Nun, das kann es nicht. Wir brauchen einen echten Appell, der von oben herab an alle Mitarbeiter gerichtet ist. Wir müssen Unternehmensdaten als heilig betrachten, ebenso wie wir unsere eigenen personenbezogenen Daten behandeln würden oder sollten. Wenn wir nicht das Gefühl haben, dass es unsere Daten sind, die wir für unsere Arbeit verwenden, werden wir für unsere Arbeitgeber zu Gefährdungspunkten. Solange wir nicht gemeinsam Unternehmensdaten erkennen und wertschätzen, werden wir diesen Krieg gegen die Hacker nicht gewinnen.

Noch wichtiger ist, dass wir die nächste Generation von Nutzern mit diesem Prinzip im Hinterkopf aufziehen müssen. Diejenigen, die mit einem Gerät in der Hand geboren wurden, die denken, dass alle Daten in der Cloud zuhause sind. Was wir als Bequemlichkeit sehen, ist für die Generation Y eine Lebensweise, und es ist wichtig, sie zu erziehen und ihnen dabei zu helfen, ihr Verhalten zu ändern, weil sie die Mitarbeiter von morgen werden.

Mitarbeiter, nicht nur die IT-Abteilung, müssen die Verwalter von Unternehmensdaten sein

Letztes Jahr erhielt ein HR-Mitarbeiter unseres Unternehmens eine E-Mail vom CEO mit der Bitte, ihm die Gehälter aller Mitarbeiter unverzüglich zu übermitteln. Dies war eine merkwürdige Bitte, und der Mitarbeiter erkundigte sich beim Leiter der Personalabteilung, der dem CEO eine SMS schickte, um die Anfrage zu bestätigen.

Es handelte sich um einen Social-Engineering-Angriff.

Unsere IT-Abteilung verfasste sofort eine E-Mail an das gesamte Unternehmen, um den Vorfall zu erläutern, und machte jeden einzelnen Mitarbeiter auf den Angriff und die Möglichkeit anderer solcher Vorfälle aufmerksam. Dies war ein idealer Fall eines Mitarbeiters, der auf eine verdächtige Anfrage hinweist, und einer IT-Abteilung, die unverzüglich Maßnahmen ergreift, um die gesamte Belegschaft zu schulen. Seitdem haben viele Mitarbeiter verdächtige Datenanfragen, E-Mails oder Dateien gemeldet. Training des Sicherheitsbewusstseins, Richtlinien für starke Passwörter und Zugriffsverwaltungsrichtlinien werden sicherlich dazu beitragen, das Risiko eines Datenverstoßes zu verringern. Es ist jedoch wichtig, dass Mitarbeiter und die IT-Abteilung zusammenarbeiten, um Cyberattacken zu erkennen und zu verhindern, sich gegenseitig über mögliche Sicherheitsvorfälle zu informieren und sofortige Warnungen auszusenden.

Wir alle sind jetzt Teil des neuen Sicherheitsumfelds für das Unternehmen, für das wir arbeiten, und es ist an der Zeit zu erkennen, dass Sicherheit nicht nur eine IT-Verantwortung ist. Letztendlich sind wir die Hauptverantwortlichen der sprichwörtlichen „Schlüssel“ zum Königreich und können, bewaffnet mit Werkzeugen des Sicherheitsbewusstseins, gute Stewards von unternehmenskritischen Daten sein. Vor allem müssen Führungskräfte mit gutem Beispiel vorangehen und sicherstellen, dass jeder einzelne Mitarbeiter den Wert von Unternehmensdaten erkennt sowie die wichtige Rolle, die er bei der Sicherung dieser Daten spielt. Dadurch werden nicht nur die personenbezogenen Daten eines jeden Nutzers geschützt, sondern es wird auch die dringend benötigte Verteidigungsebene gegen den nächsten lauernden Hacker geschaffen.

Dieser Artikel wurde zuvor auf Forbes.com veröffentlicht.


Discussion