Suchen

Risiken und Möglichkeiten für IT-Sicherheitsverantwortliche Auswirkungen der Coronakrise auf die IT-Sicherheit

Autor / Redakteur: Sascha Martens / Peter Schmitz

Zu den erfolgreichsten Maßnahmen zur Eindämmung der Covid-19-Pandemie gehören zweifellos die Kontaktbeschränkungen und damit die Verlagerung der Arbeitsplätze ins Home Office, sofern möglich. Welche Konsequenzen ergeben sich aber aus diesem New-Work-Ansatz für die IT-Sicherheit in Unternehmen?

Firmen zum Thema

Das Home-Office stellt eine Ergänzung des unternehmerischen Wertschöpfungsportfolios dar, das seinen in Corona-Zeiten erkämpften Platz sicher nicht mehr räumen wird.
Das Home-Office stellt eine Ergänzung des unternehmerischen Wertschöpfungsportfolios dar, das seinen in Corona-Zeiten erkämpften Platz sicher nicht mehr räumen wird.
(Bild: gemeinfrei / Pixabay )

Das Wirtschaftsberatungsunternehmen Deloitte befragte im vierten Quartal 2019 353 Gesellschafter und Führungskräfte großer Mittelständler zum Thema IT-Sicherheit. Bereits bevor sich das hochansteckende Corona-Virus über den gesamten Erdball ausbreitete, warnten Branchen-Experten vor einer allgemeinen Zunahme im Bereich der Cyber-Gefahren – nichtsdestotrotz gestanden fast die Hälfte der Befragten der IT-Sicherheit immer noch keine aktuelle Top-Priorität zu, wollten sich aber zukünftig intensiver mit dieser Problematik auseinandersetzen.

Nach den mehr oder weniger abrupten Covid-19-Lockdowns und der rasant gestiegenen Bedeutung von Tele-Arbeit haben sich natürlich auch Cyber-Kriminelle auf der ganzen Welt den neuen Rahmenbedingungen angepasst, ihre Angriffsstrategien justiert – und massiv verstärkt. Die Herausforderungen für IT-Sicherheitsverantwortliche, aber auch für die gesamte Geschäftsführung inkl. HR-Management spreizen sich einerseits erheblich auf und ziehen andererseits auch enormen Handlungs- und Investitionsbedarf nach sich.

Steigende Heterogenität durch Tele-Arbeit

Die Coronakrise traf den deutschen Mittelstand ganz unterschiedlich – wer sich bereits eingehend und proaktiv der Digitalisierung und auch dem Thema „Ortsunabhängige Produktivität“ gewidmet hatte, konnte gut vorbereitet und zügig Mitarbeiterinnen und Mitarbeiter ins Home-Office schicken und seine Geschäftstätigkeit weitestgehend aufrechterhalten. Andere Unternehmen, die dann aber nicht selten auch branchenbedingt immer noch einen hohen Anteil von analogen Prozessen und/oder Produktionsschritten aufwiesen, kamen fast vollkommen zum Stillstand – zum Beispiel in der Tourismusbranche oder in der Automobilindustrie. Die bereits vor Corona vorhandene digitale Heterogenität bildet der Digitalisierungsindex Mittelstand 2019/2020 gut ab, identifiziert aber auch im Fazit den Bereich „Datenschutz und IT-Sicherheit“ als klares Schwerpunkt-Thema.

Der Corona-bedingte Transfer von Mitarbeiterinnen und Mitarbeitern ins Home-Office verbreitert die Unterschiedlichkeit der Rahmenbedingungen und die Komplexität der resultierenden Aufgaben – insbesondere im Mittelstand – noch weiter: Modellvielfalt und Leistungsfähigkeit der Hardware, Aktualität der Software, Netz-Anbindung der räumlich verstreuten Tele-Arbeitsplätze, Effektivität der administrativen Prozesse. Wer bereits Probleme mit der Umsetzung einer „Bring-Your-Own-Device“-Strategie hatte, tut sich entsprechend schwer mit einer „Use-Your-Own-Device-at-Home“-Agenda. Einer großangelegten Beschaffung von zusätzlicher Hardware für den Telearbeitsplatz standen Einschränkungen in der Verfügbarkeit entgegen. Andererseits stehen IT-Verantwortliche, die vielleicht gerade die Absicherung ihrer unternehmensinternen Server- und Arbeitsplatzrechner-Infrastruktur mühsam abgeschlossen haben, vor der nicht minder anspruchsvollen Herausforderung, unter enormen Zeitdruck sichere, stabile und leistungsfähige Datenverbindungen zu externen Usern und Clients aufzubauen. Dementsprechend setzen sich die Themen „Verfügbarmachung sicherer Home-Office-Arbeit“ Bereitstellung der benötigten Services“ und „Allgemeine IT-Security“ selbstbewusst auf die TOP-Liste von Geschäftsleitungs- und Vorstandssitzungen. Die Bandbreite der abzuleitenden Maßnahmen sprengt aber den reinen IT-Bereich.

IT-Sicherheit beschränkt sich nicht nur auf Hard- und Software

Der Mensch gilt auch weiterhin noch als das größte und unkalkulierbarste IT-Risiko. Diese Kategorisierung schwächt sich auch nicht durch die Verlagerung ins Home-Office ab, ganz im Gegenteil. Die Ausstattung mit aktueller, performanter und sicherer Soft- und Hardware stellt daher nur die eine Hälfte der Medaille dar. Neben den technischen Experten sind hier Vorgesetzte und HR-Verantwortliche gefordert, Mitarbeiterinnen und Mitarbeiter zu unterstützen, zu schulen und zu motivieren. Wer sich bis vor den Corona-bedingten Kontakteinschränkungen wohl und akzeptiert in seinem Arbeitsumfeld fühlte, kann in der Abgeschiedenheit des provisorischen Home-Offices durchaus Unsicherheit und Isolation empfinden. Ohne den spontanen und klärenden Austausch in der Teeküche – auf dem kurzen Dienstweg – häufen sich dann auch oft Verständnis- und Flüchtigkeitsfehler. Das Risiko, einer Phishing-Attacke zum Opfer zu fallen, nimmt entsprechend zu. Den „Human Factor“ bekommt man mit regelmäßigen Security-Awareness-Schulungen in den Griff. Auf das gleichfalls sehr wichtige seelische Gleichgewicht wirken sich digitale Smalltalks positiv aus, die anlassunabhängig zu festen Terminen vereinbart, aber eben auch ganz spontan und „hemdsärmelig“ durchgeführt werden sollten. Gleichfalls stehen die Führungskräfte in der Pflicht, die Einhaltung der unternehmensspezifischen Sicherheitsrichtlinien zu forcieren und zu kontrollieren. Die IT-Admins können angesichts ihres erheblich gestiegenen Aufgabenspektrums diese Entlastung sehr gut gebrauchen.

Agilität und Entscheidungsdynamik in Corona-Zeiten

Die enorme Unvorhersehbarkeit der pandemischen Entwicklung schlägt natürlich auch in den Bereich der agilen Führungs- und Arbeitsorganisation durch. Entscheidungen müssen einerseits schneller getroffen werden, andererseits sinkt die „Halbwertzeit“ der Gültigkeit. Dementsprechend müssen die Sicherheits-Tools – aber auch die Führungsgrundsätze – mit den aktuellen und zukünftigen Bedrohungsszenarien Schritt halten und sich den Anforderungen des New Work Konzepts anpassen. Auf die Hard- und Software bezogen ergibt sich die Notwendigkeit, Firmware und Programmversionen stets auf dem neusten Stand zu halten und bei Bedarf auch die Nutzungszyklen der Devices erheblich zu verkürzen. Wenngleich also auch die Entscheidungsfrequenz zunimmt, darf die Qualität und die Praktikabilität der erarbeiteten New Work Konzepte nicht leiden. Dementsprechend gilt es nun bei der Entwicklung von IT-Sicherheits-Strategien und -Vorgehensweisen ein viel breiteres Spektrum abzudecken und flankierende Kompetenzen und Bereiche mit einzubeziehen. Gleichzeitig muss immer wieder die Kategorisierung von IT-Sicherheit als „Chefsache“ forciert werden.

Home-Office: Gekommen, um zu bleiben

Sicherlich wird sich in mehr oder weniger absehbarer Zeit der Anteil der Tele-Arbeiterinnen und -Arbeiter wieder reduzieren. Nichtsdestotrotz stellt das Home-Office eine Ergänzung des unternehmerischen Wertschöpfungsportfolios dar, das seinen in Corona-Zeiten erkämpften Platz sicher nicht mehr räumen wird – und mit entsprechend angepassten Sicherheitskonzepten dauerhaft und robust unterfüttert werden sollte. Insofern konnte die Digitalisierung im Mittelstand einen ordentlichen Sprung nach vorne machen, den die IT- und Personalverantwortlichen auf Geschäftsführungsebene möglichst zuversichtlich weiterverfolgen können. Ein „Zurück in die gute alte Zeit“ wird es nicht mehr geben.

Über den Autor: Sascha Martens ist seit April 2019 als CTO bei Mateso tätig, ein international agierendes IT-Unternehmen mit Sitz in Augsburg.

(ID:46945765)