IT Sicherheit und wie man es richtig macht

Sicherheit ! – und fast alle Mitarbeiter rollen die Augen.

Kennen Sie das: Es sind gerade einmal 4 Wochen um, und Sie müssen schon wieder Ihr Passwort ändern und Ihr Administrator hat es ziemlich „gut“ mit Ihrer Sicherheit gemeint:

  • Das neue Passwort muß mindestens aus 12 Zeichen bestehen,
  • Buchstaben (groß und klein natürlich),
  • Zahlen und Sonderzeichen.
  • Das Wort darf nicht im Duden stehen und
  • muß anders sein als die letzten 12.

An Ihrer Stelle würde ich mir externen Rat suchen. Das muß nämlich nicht sein, im Gegenteil: solche Gängeleien verführen dazu, daß die Mitarbeiter die Sicherheitsschranken umgehen und ihre Passwörter „social“ speichern. („social“ heißt in der IT „menschlich“) Da kann es schon vorkommen, daß eines von den Klebezetteln am Bildschirm des Mitarbeiters das Passwort enthält und schauen Sie mal unter der Tastatur oder dem Mousepad nach. Wenn er / sie etwas Verantwortungsgefühl hat, liegt das Passwort in der Schublade – verschlossen, natürlich.

In der Mehrzahl der Fälle sind nicht die Mitarbeiter Schuld, sondern die Sicherheitvorschriften, die den Menschen außen vor lassen oder die gängeln, damit der Nerd aus der IT Beachtung findet.

Zuerst erstellen wir ein Sicherheitskonzept, das folgende Frage behandelt:

  • Software Restriction Policies
  • Firewall
  • Update Management
  • Adblocker
  • Virenschutz
  • Scriptschutz
  • Exploit Schutz
  • Überwachter Ordnerzugriff
  • Mailverschlüsselung
  • Virtual Private Network
  • Privatsphäre
  • Webdienste
  • Backup
  • Stromausfall
  • Überspannungsschutz
  • Dateiverschlüsselung
  • Authentifizierung

Wenn wir dann für jedes der Punkte eine Lösung haben, müssen wir sie zu einem Gesamtkonzept zusammensetzen, denn es soll alles miteinander und nicht gegeneinander arbeiten.

Mir ist es einmal passiert: Ich sollte einen Vortrag in einem Betrieb zum Thema innerbetriebliche Kommunikation halten. Dazu benötigte ich in paar interne Informationen. Jedoch mein PC hatte keinen Zugriff auf diese internen Daten. Der Vorstand verlangte vom IT Beauftragten, mir den Zugang zu den Informationen zu gewähren. Anstelle mir einen internen PC zur Verfügung zu stellen, oder mir ein temporäres Profil einzurichten, das nur Zugriff auf genau diese Daten und nicht mehr hatte, lud der IT Verantwortliche die Daten zu Dropbox, von da konnte ich sie auf meinen PC herunterladen und benutzen. Weiß der IT Mitarbeiter nicht, wie „sicher“ Dropbox ist?

Wenn ich mich mit meinen Kollegen über derartige Vorkommnisse unterhalte, stellen wir oft fest: Das sind keine Einzelfälle. In vielen Betrieben, vor allem im Mittelstand, wird einem Büromitarbeiter, die Aufgabe zuteil, sich um die Computer, den Drucker und die Telefonalage zu kümmern. Dieser arme Mensch. Bitte geben Sie ihm / ihr Unterstützung z.B. durch externe Betrater oder durch Schulungen. Das IT Leben ist sehr schnelllebig. Das kann Keiner so nebenbei und die Anforderungen steigen – vor allem auch in der IT Sicherheit.