Wer berechtigten Zugriff auf IT-Systeme hat, kann viel Schaden anrichten
IT-Sicherheit ist heute für die meisten Menschen kein Fremdwort mehr – ob im Berufsleben oder privat. Dennoch verzichten manche Kanzleien darauf, Sicherheit ganzheitlich zu durchdenken. Sicherheit ist mehr als ein Virenschutz oder eine Firewall. Sicherheit für die empfindlichen Daten bedeutet neben einer gesicherten IT-Infrastruktur auch die Notwendigkeit für regelmäßige Datensicherungen. Was dabei ganz oft vergessen wird, ist das Sicherheitsrisiko Mensch, der durch beabsichtigte, oder unbeabsichtigte Handlungen oder Unterlassungen oft das größte Risiko darstellt.
Für Kanzleien ist heute die Gestaltung moderner Arbeits- und Geschäftsprozesse ohne IT-Unterstützung nicht mehr realisierbar. Durch die Verbreitung des Internets und den daraus resultierenden Möglichkeiten zum Informationsaustausch – beispielsweise durch E-Mails oder den elektronischen Rechtsverkehr – sind neue Arbeitsprozesse entstanden, die noch vor wenigen Jahren unvorstellbar waren. Mit der wachsenden Abhängigkeit der Kanzleien und Unternehmen von Informationssystemen gewinnt die Sicherheit dieser Systeme zunehmend an Bedeutung. Somit stellen Schwachstellen bezüglich Stabilität und Zuverlässigkeit von IT-Systemen einen Risikofaktor dar, der auch für Ihre Kanzlei unter Umständen existenzbedrohend sein kann.
Nach repräsentativen Umfragen des Bundesamtes für Sicherheit in der Informationstechnik – BSI – klafft zwischen dem theoretischen Wissen und dem faktischen Handeln bei der Mehrheit der Bürger eine große Lücke in Bezug auf die Sicherheit im Internet. So gaben der Studie zufolge 90 Prozent der Befragten an, dass ihnen die Sicherheit von Dienstleistungen im Internet wichtig oder sehr wichtig ist. Soweit, so gut. Nun mag man denken, dass diese Mehrheit sich entsprechend informiert und geeignete Maßnahmen ergreift, um ihre Aktivitäten zu sichern. Falsch: Das Bewusstsein für die Bedeutung der IT-Sicherheit ist bei mehr als der Hälfte (53 Prozent) wenig ausgeprägt. So ist diese Mehrheit der Meinung, dass sie das Thema IT-Sicherheit eher gering bis überhaupt nicht betrifft. Zu dieser erschreckenden Erkenntnis passt, dass über 78 Prozent der Bundesbürger die eigenen IT-Sicherheitskenntnisse mit Schulnoten zwischen 3 und 6 einschätzt und auch bei der Implementierung und Umsetzung von grundlegenden Schutzmaßnahmen noch erheblicher Nachholbedarf besteht.
Zurück zum Kanzleialltag. Hier arbeiten in erster Linie Menschen, deren Kernaufgabe nicht die IT-Betreuung ist – also Menschen wie du und ich. Genau dieser Umstand macht es erforderlich, Maßnahmen zu treffen, die die Sicherheit der empfindlichen (Kanzlei-)Daten steigern. Was die Hardware, Software, Kanzleidaten, Sicherheits-Updates und Netzwerke angeht, bedient man sich im professionellen Umfeld am besten eines Dienstleisters, der sich regelmäßig um diese Themen kümmert und die Systeme ggf. sogar aus der Ferne überwacht oder zumindest auf automatisch ausgelöste Alarmmeldungen reagiert. Den größten Gefahrenbereich sehen viele IT-Verantwortliche jedoch im Irrtum und in der Nachlässigkeit der eigenen Mitarbeiter, gefolgt von Gefährdungen durch Malware – also schädigende Software, die durch externe Attacken auf die Systeme gelangen.
Sicherheit hat eine sehr persönliche Komponente
Beim Planen und Umsetzen von Sicherheits- und Notfallkonzepten ist zu berücksichtigen, dass der Nutzer in der Regel kein Experte ist. Es ist wichtig, ein Bewusstsein dafür zu schaffen, dass technische Probleme nur ein Faktor sind, der die Sicherheit Ihrer Kanzlei-IT gefährdet. Neben der Technik spielen zum Beispiel menschliches Fehlverhalten, organisatorische Mängel, Natureinflüsse und interne Regelungen eine Rolle.
Es geht schon bei den Passwörtern los. Heute benötigt man neben dem Systempasswort am PC viele weitere, beispielsweise für externe Mail-Provider, Einkaufsplattformen, Electronic Banking etc. Das verleitet Internetnutzer oft dazu, ein Passwort gleich für mehrere Angebote zu verwenden. Das belegt aktuell (Januar 2013) eine repräsentative Umfrage des Forschungsunternehmens TNS Emnid im Auftrag des BSI. So vergibt über die Hälfte der befragten Internetnutzer nicht für jeden Online-Dienst ein eigenes Passwort. Lt. Prof. Dr. Wolf Hammann, Vorsitzender der Polizeilichen Kriminalprävention der Länder und des Bundes (ProPK), sind viele Menschen zu nachlässig bei der Wahl ihrer Passwörter, ob für den heimischen Rechner, den PC am Arbeitsplatz oder ihr Profil im sozialen Netzwerk. Damit machen sie es Kriminellen leicht, ihre Daten zu missbrauchen und schlimmstenfalls in ihrem Namen Straftaten zu verüben. Besonders leicht haben es Täter bei Passwörtern, die ausschließlich Begriffe aus Wörterbüchern enthalten. Es ist wichtig, sichere und unterschiedliche Passwörter für verschiedene Dienste zu haben. Michael Hange, Präsident des Bundesamtes für Sicherheit in der Informationstechnik erklärt es genauer: Ein sichereres Passwort „besteht aus Groß- und Kleinbuchstaben, Ziffern sowie Sonderzeichen.“ Doch auch das stärkste Passwort reicht nicht aus, wenn es nicht regelmäßig gewechselt wird. „Wer sein Passwort alle drei Monate ändert, macht es Internet-Kriminellen bedeutend schwerer.“ Ein verantwortungsbewusster Systemadministrator besteht auf dem regelmäßigen Passwortwechsel. Natürlich werden auch intern Passwörter nicht weitergegeben, um einem Kollegen den Zugriff auf eigene Bereiche zu gestatten!
Sicherheit bedeutet auch, dass man sein Passwort nicht auf eine Post-It Notiz schreibt und unter der Schreibtischauflage oder in der obersten Schublade „versteckt“.
Hier die wichtigsten Passwort-Tipps des BSI:
- Verwenden Sie nie dasselbe Passwort für mehrere Anwendungen und ändern Sie das Passwort regelmäßig.
- Wählen Sie ein Passwort, das mindestens acht Zeichen lang ist. Es sollte aus Groß- und Kleinbuchstaben in Kombination mit Zahlen und Sonderzeichen bestehen und auf den ersten Blick sinnlos zusammengesetzt sein. (Ausnahme: Bei Verschlüsselungsverfahren wie beispielsweise WPA und WPA2 für WLAN sollte das Passwort mindestens 20 Zeichen lang sein.)
- Tabu sind Namen von Familienmitgliedern, des Haustieres, des besten Freundes, des Lieblingsstars oder deren Geburtsdaten usw. Das Passwort sollte nicht in Wörterbüchern vorkommen. Auch Passwörter, die aus gängigen Varianten und Wiederholungs- oder Tastaturmustern bestehen (z. B. „asdfgh“ oder „1234abcd“), sind nicht empfehlenswert. Einfache Ziffern oder Sonderzeichen wie „$“ am Anfang oder Ende eines ansonsten simplen Passwortes bieten keinen ausreichenden Schutz.
- Bewahren Sie Ihre Passwörter sicher auf.
- Geben Sie Ihre Passwörter nicht an Dritte weiter.
- Ändern Sie voreingestellte Passwörter immer.
- Nutzen Sie einen Bildschirmschoner mit Passwortabfrage, wenn der PC angeschaltet ist und nicht genutzt wird.
Sabotage – ein Fremdwort in Kanzleien?
Zum Risiko Mensch gehört auch noch ein sehr unerfreulicher Bereich, der dennoch nicht außer Achte gelassen werden sollte: Der Bereich heißt Sabotage. Es ist nicht selten, dass beispielsweise gekündigte Mitarbeiter eines Unternehmens noch vor ihrem Ausscheiden versuchen, den Arbeitgeber und dessen IT zu schädigen. Da sie möglicherweise entsprechende Berechtigungen haben, ist dies für einen internen Schädiger einfacher als für eine Attacke von außen. Sicher trifft dieser Fall im Kanzleialltag eher selten ein. Bedenken und bewerten sollte man das Risiko aber dennoch. Am besten sollte man daher die Berechtigung für kanzlei- und sicherheitsrelevante Aufgaben an der IT-Landschaft nicht jedem Mitarbeiter geben und hier ebenfalls ein Sicherheitskonzept einsetzen. Dabei holt man sich entsprechende Beratung am besten von seinem Systempartner. Dann kann man bei gleicher Gelegenheit auch den Notfallplan besprechen, der nicht nur einer Attacke Rechnung trägt, sondern sogar potenzielle Ausfälle von Geräten berücksichtigt.
RSS