Damit die Technik hält, was sich der Mensch verspricht
Digitalisierung bedeutet immer auch, Daten und Informationen an einem Ort zu vereinen. Ganz gleich, ob es sich dabei um den eigenen Laptop, einen Kanzleiserver oder sogar eine externe Archivierungslösung in der sog. Cloud handelt – Daten müssen gegen Missbrauch und Beschädigung geschützt werden. Neben der rein technischen Lösung ist es immer der Mensch, der die Regeln vorgibt und durch sein Verhalten selbst zum Risiko wird.
An dieser Stelle sprechen wir einmal mehr über Datensicherheit, lassen die – hoffentlich selbstverständlichen – Themen Virenschutz und Firewall jedoch außen vor. Wir alle hassen Passwörter mehr oder weniger. Sie behindern die geschmeidige Arbeit mit allen Arten von digitalen Systemen und stellen uns immer wieder vor neue Herausforderungen: Für jedes System ein einzigartiges, gültiges Passwort ausdenken, merken, regelmäßig ändern, vor unbefugtem Zugriff sichern. Soweit die Theorie. Aus Bequemlichkeit neigen jedoch nicht wenige unter uns dazu, diese wichtige Aufgabe auf die leichte Schulter zu nehmen und dann eben doch ein einziges Passwort vom Online-Shopping bis zum Banking zu verwenden. Und wehe dem, dessen Passwort dann einmal in falsche Hände gerät…
Datensicherheit ist eine unternehmensrelevante Geschäftsentscheidung
Eigentlich wissen die meisten Nutzer digitaler Datenverarbeitungs-Systeme, was man tun und was unterlassen sollte. Aber…
Genau dieses „Aber“ macht die meisten Systeme angreifbar, obwohl sie einfach geschützt werden könnten. Technik allein reicht nicht aus, der organisatorische Rahmen, ausgehend von der Geschäftsleitung, muss stimmen und seine Einhaltung sollte überwacht werden.
Eine Anmeldung am PC mit Passwort und Benutzernamen ist Alltag in Kanzleien wie Unternehmen. Nur leider wächst die Zahl der Login-Kombinationen permanent weiter. So beispielsweise auch für Informationen, die in der sog. Cloud gespeichert sind und sich somit von überall und über verschiedene Endgeräte abrufen lassen.
Flexibler werden neben den Mitarbeitern jedoch auch Cyberkriminelle. Sie versuchen aus der Ferne, sich Passwörter zu beschaffen, beispielsweise durch eine ins Unternehmen eingeschleuste Software oder durch die enorme Rechenpower, die heute zur Verfügung steht und einfach Millionen von Varianten ausprobiert.
Das Sicherheits-Plus – Multifaktor-Authentifizierung
Es gibt vielfältige Möglichkeiten, die Sicherheit deutlich zu erhöhen. Sie sind jedoch selbst in größeren Unternehmen nicht sonderlich weit verbreitet. Entsprechend einer Umfrage des Sicherheitsanbieters Eset, hatten lediglich 18 Prozent von knapp 2.000 befragten Firmen eine
Multifaktor-Authentifizierung im Einsatz. Als Multifaktor-Authentifizierung (MFA) bezeichnet man Security-Systeme, die mehr als eine Form der Authentifizierung erfordern, um die Rechtmäßigkeit einer Anmeldung zu verifizieren. Wir sind sicher, dass der Anteil unter den Kanzleibetreibern keinesfalls höher liegen wird, eher im Gegenteil. Und das trotz des gesteigerten Vertrauensverhältnisses zwischen Mandanten und Rechtsanwälten.
MFA kombiniert zwei oder mehr voneinander unabhängige Zugangsnachweise: Unterschieden wird zwischen Kenntnis (Passwort), Besitz (Security Token – ähnlich einem USB-Stick) oder Physis (biometrische Verifizierung). Ziel ist die Schaffung eines mehrschichtigen Schutzes. Selbst wenn einer der Faktoren beschädigt oder kompromittiert ist, muss ein Angreifer mindestens eine weitere Hürde überwinden, um seinen Einbruchsversuch fortzuführen.
Eine zusätzliche Schutzebene für Cloud-Anwendungen lässt sich außer über eine Multifaktor-Authentifizierung auch an einer ganz anderen Stelle im Unternehmen einziehen: Hier gewährleistet ein sog. Access Broker, dass Anmeldeinformationen überhaupt nicht nach außen in die Cloud kommuniziert werden. An Stelle der „regulären“ Anmeldung wird ein Mitarbeiter auf einen eigenen Server umgeleitet. Nachdem er sich dort korrekt angemeldet hat, gibt dieses System den Zugriff auf die Cloud-Software frei.
Fazit
Datensicherheit beginnt beim Menschen, der mit den IT-Systemen arbeitet. Das Management von Authentifizierung und Zugangsrechten ist höchst unternehmens- oder besser gesagt kanzleirelevant und sollte daher Chefsache sein. Wer sich als Kanzleiinhaber nicht um diese Themen kümmert, oder sie in vertrauensvolle Hände (eines Datenschutzbeauftragten) delegiert, lebt mit einem hohen Risiko, das auch ein eventuelles Haftungsrisiko einschließt. Neben dem rein faktischen „Doing“ ist es geradezu grundlegend, mit seinen Mitarbeitern über die Relevanz der Datensicherheit zu sprechen. Noch besser sind Intensivkurse, in denen Basiswissen und Vorgehen im Tagesgeschäft gelehrt werden.
RSS