Paul Hamich
Eins vorweg… Maßnahmen zur Verringerung der Unsicherheit sind stets vorteilhaft. Somit sollen die nachfolgenden Gedanken unter keinen Umständen als „finger-pointing“ verstanden werden. Der Fokus liegt auf einer objektiven Betrachtung der im Zuge der Pandemie auftauchenden Hinweise und Hilfestellungen. Ob als Checkliste, Fließtext oder Webinar: Hinweise bleiben Hinweise und wem es hilft, dem hilft es und das ist sodann in jedem Fall positiv.
Besonders das Thema Home-Office ist in den Fokus gerückt, da Corona die Mitarbeiter vieler Unternehmen unvorbereitet und gezwungenermaßen dorthin gedrängt hat.
Durch mobiles Arbeiten und Telearbeit entstehen weitere Szenarien, die es zusätzlich zur klassischen Büroarbeit zu betrachten gilt, um risikobasiert geeignete Maßnahmen zu etablieren.
Grund dafür sind die neuen Herausforderungen, die im Home-Office auf die Mitarbeiter zukommen: Dazu zählt unter anderem veraltete Technik/Systeme, fehlendes Verständnis und Awareness, ein eventuell schlecht zu erreichender Help-Desk oder der fehlende Kollege vor Ort, den man schnell mal fragen kann.
Angriffe auf Unternehmen steigen im Kontext Corona merklich an. Im Fokus steht die Ausnutzung der Unsicherheit sowie des Informationsbedarfs der Mitarbeiter. Jürgen Stock, der Generalsekretär von Interpol sagte dazu sehr treffend:
“Cybercriminals are developing and boosting their attacks at an alarming pace, exploiting the fear and uncertainty caused by the unstable social and economic situation created by COVID-19.”
Unternehmen ab einer mittleren Größe oder mit einschlägigen zertifizierten Management-Systemen sollten diese zusätzlichen Szenarien weniger überraschen.
Entsprechend sollten diese Unternehmen beim Verdauen der „Maßnahmen für mehr IT-Sec im Home-Office“ nicht vom Hocker fallen.
Umso mehr überrascht uns beim Überfliegen der zahlreichen Angebote dieser Hilfestellungen, dass der Großteil davon ein ziemlich alter Schuh ist.
Sehr wohl muss man bei der Analyse der Medien stets das adressierte Publikum berücksichtigen. Somit ist aus Sicht einer Tageszeitung und in Verbindung mit Absatz 1 (Eins vorweg) völlig legitim, sichere Passwörter, das Installieren von Patches und das Mitdenken zu empfehlen.
Mit oder ohne Pandemie, im Büro oder anderswo, diese Maßnahmen sind immer richtig und wichtig.
Zusammenfassend kann festgestellt werden, dass sich wenige Autoren bei der Preisgabe Ihrer „Checklisten für IT-Security in Zeiten von Corona“ tatsächlich auf die durch die Pandemie erforderlich werden Maßnahmen beschränkt haben. Vielmehr entsteht das Gefühl, dass mit der Gießkanne gearbeitet wird. Dazu werden „alte“ (und dabei auch wertvolle) Hinweise gegeben, die jedoch nicht ausschließlich „in Zeiten von Corona“ sondern stets passend sind. Problematisch könnte sein, dass in der Masse die notwendigen oder zeitkritischen Maßnahmen untergehen oder verzögert Beachtung finden.
Nun ist es natürlich immer recht einfach und bequem aus der zweiten Reihe zu schießen und hinterher schlauer als die anderen zu sein. Darum geht es uns hierbei jedoch nicht.
Wir wünschen uns eine differenzierte Berichterstattung und Unterscheidung bei der Maßnahmenempfehlung, damit ein angemessener Schutz stattfinden kann.
Schlussendlich muss jede Organisation für sich abwägen, welche Maßnahmen wie sinnvoll sind.
Wenn beim Verarbeiten der zahlreichen bereitgestellten Tipps zu viele als „das müssen wir schnell machen“ angesehen werden, dann ist das im Endeffekt gut. Es fördert zu Tage, dass es bisher anscheinend keine gebührende Würdigung der Informationssicherheit gab.
In diesem Fall sollte zeitnahe über sichere Passwörter, das Installieren von Patches und das Mitdenken gesprochen werden.
Anschließend empfiehlt sich eine grundlegende Diskussion, um dem Thema Sicherheit einen geregelten und geachteten Prozess zu verleihen. Ansonsten läuft man Gefahr zu viel oder gar ausschließlich mit dem Umsetzen von vereinzelten Maßnahmen zu verbringen, anstatt sich dem großen Ganzen zu widmen und die vorhandenen Ressourcen effizient einzusetzen. Shon Harris und Fernando Maymí schlussfolgern:
„The main reason organizations do not develop and roll out an enterprise security architecture is that they do not fully understand what one is and the task seems overwhelming. Fighting fires is more understandable and straightforward, so many companies stay with this familiar approach.”