Auswirkungen von COVID-19 auf die IT Sicherheit

Berichte zum Thema IT Sicherheit hängen in vielen Fällen mit Computerviren zusammen – das aber ein biologisches Virus so enorme Auswirkungen auf die Sicherheit von Computersystemen hat, ist eher ungewöhnlich. Trotzdem ist in diesen Wochen beim Coronavirus COVID-19 genau das der Fall.

vpn
Photo by Gem Fortune on Pexels.com

Vor wenigen Tagen veröffentlichte ich einen Artikel, der die Auswirkungen des Coronavirus auf die Digitalisierung beschrieb. Ein Bereich, der mit der Digitalisierung jedoch untrennbar verbunden ist, ist der Bereich der IT Sicherheit und des Datenschutzes. Ähnlich wie die körperliche Gesundheit nicht weniger Menschen sind aktuell auch diese Bereiche der Gesundheit von Computersystemen besonderen Herausforderungen und Gefahren ausgesetzt.

Aufgrund der Coronavirus-Pandemie sind gegenwärtig Unternehmen dazu aufgerufen, einen großten Teil ihrer Arbeitnehmer remote, als von zu Hause aus arbeiten zu lassen. Zwar gibt es einige innovative Unternehmen – unter ihnen sowohl große Konzerne als auch kleinere Organisationen und Freelancer – die bereits regelmäßig oder vorwiegend auf Remote-Arbeitsplätzen basieren, und dementsprechend über ausgereifte, erprobte Konzepte und Workflows dafür verfügen. Diese sind aber derzeit wohl noch eine deutliche Minderheit.

Für alle anderen beschreiben Begriffe wie Home Office und Remote- bzw. Telearbeit ein sehr unbekanntes Terrain. Die selbst vor Ort in den Betriebsstätten oft noch wenig etablierten Vorkehrungen bzw. Maßnahmen für Datenschutz und IT Sicherheit sind für den Home Office Betrieb häufig noch gar nicht ausgearbeitet.

Diese neuartige Situation bietet daher einen idealen Nährboden für Schadsoftware, Phishing, Social Engineering, und auch simple Anwenderfehler. Sicherheitslücken und Datenlecks können die Folge sein, und die betroffenen Unternehmen technisch, rechtlich und finanziell in Mitleidenschaft ziehen.

Kritische Gefahrenquellen

Die Situation mag eine neue sein – die typischen Gefahren für die IT Sicherheit und den Datenschutz sind aber im Home Office mehr oder weniger die gleichen wie vor Ort im Betrieb. Jedoch ist der einzelne Mitarbeiter bei der Umsetzung und Einhaltung von Sicherheitsmaßnahmen viel mehr auf sich allein, einschließlich seiner eigenen Fähigkeiten ebenso wie seiner Disziplin, gestellt. Das Unternehmen sollte daher so gut wie möglich von außen den Mitarbeiter dafür entsprechend unterstützen, und ihn auch im ausreichenden Maße einschulen.

Die vielfältigen Gefahren des Internets und der digitalen Welt ganz allgemein, bestehen einerseits natürlich aus den bekannten technischen Gefahrenquellen. Darunter fallen verschiedene Variationen von Schadsoftware (Viren, Trojaner, Würmer, Spyware, Adware usw.), aber auch Hackeraktivitäten (von mutwilliger Zerstörung durch Script Kiddies bis hin zu organisierter Betriebsspionage und Erpressung).

Ein sehr großer Anteil dieser Dinge lässt sich jedoch mit soliden technischen Vorkehrungen abwehren:

  • Sichere, einzigartige Passwörter und Zwei-Faktor-Authentifizierung
  • Sichere, rechtzeitig gepatchte Betriebssysteme mit sinnvoll eingereichter Sicherheitssoftware
  • Sichere, zeitnah upgedatete Anwendersoftware
  • Verschlüsselte Kommunikation und Datenübermittlung

…sind einige davon, die zur Grundausstattung jeder Organisation gehören sollten.

Vielleicht noch gefährlicher als diese primär technischen Gefahren ist aber eine andere Gattung von Cyberkriminalität: Social Engineering und „psychologisches Hacken“. Dazu zählen gezielte Täuschungsmanöver durch sehr versierte Akteure ebenso, wie primitives Phishing. Diese Gefahren zielen auf Irrtümer und Anwenderfehler ab, die von unzureichend geschulten Mitarbeitern leicht getätigt werden können.

Gegen diese Gefahren helfen technische Schutzmaßnahmen alleine nicht – darüber hinaus braucht es auch klare (Verhaltens-)Richtlinien und Maßnahmenkataloge, die innerhalb des Unternehmens bekannt sind und konsequent eingehalten werden müssen. Jeder Home Office Mitarbeiter muss wissen, wie er Passwörtern, E-Mails und den Daten, mit denen er Arbeit umgehen muss.  Im Zweifelsfall sollte er Ansprechpartner aus seinem Team kontaktieren können.

Datenschutz und TOMs

Interessanterweise müssten nahezu alle Unternehmen zumindest über grundlegende Konzepte und Strategien zur Verbeugung solcher Probleme bereits ausgearbeitet haben: Mit ganz ähnlichen Fragestellungen befassen sich nämlich die technischen und organisatorischen Maßnahmen (TOMs), die Teil des Verarbeitungsverzeichnisses sind. Die Führung eines solchen Verarbeitungsverzeichnisses wurde mit Einführung der DSGVO im Mai 2018 für die allermeisten Unternehmen in Österreich bzw. der EU verpflichtend.

Ein gutes Verarbeitungsverzeichnis uns die enthaltenen TOMs definieren verschiedenste Details, die zum Datenschutz und der Datensicherheit beitragen können: Verschließbare Schränke können dort ebenso angeführt sein wie Festplattenverschlüsselungen. Der Einsatz von VPNs kann dort genauso definiert werden, wie Löschkonzepte für nicht mehr benötigte Daten.

Unternehmen, die also vor zwei Jahren bereits vorgesorgt und das Thema Datenschutz ernst genommen haben, sind heute vermutlich besser gewappnet. Die für den Betrieb aufgestellten Datenschutzmaßnahmen können, wenn auch nicht 1:1, aber zumindest annähernd, für Remote-Mitarbeiter herangezogen und adaptiert werden. Neben des Schutzes der personenbezogenen Daten geht es nun aber auch um die Sicherheit sämtlicher betrieblicher Daten und Informationen.

Fazit

Ähnlich wie das Gesundheitssystem von COVID-19 gefordert, und vielleicht an seine Grenzen geführt werden könnte, verhält es sich auch mit dem Datenschutz und der Informationssicherheit. Die kurzfristige Einführung von verpflichtenden Telearbeit und Home Office auf unbestimmte Zeit erfordert, trotz aller Eile, unbedingt auch seriöse Planung und eine schrittweise, konsequente Umsetzung.

Falls ich Sie hierbei in irgendeiner Form unterstützen kann, senden Sie mir gerne eine unverbindliche Anfrage via E-Mail.

Tipp: Beachten Sie auch diese Information der Datenschutzbehörde zum Coronavirus: https://www.dsb.gv.at/informationen-zum-coronavirus-covid-19-