Gegen Hacker und Haftungsrisiken
Von Sabine Philipp
Der neueste Trend in Sachen Social Engineering ist der USB-Stick, der ganz zufällig gefunden wird. „Manche Diebe bespielen die noch relativ teuren 64-Bit-USB-Sticks mit einem Trojaner und lassen sie auf dem Firmenparkplatz fallen“, sagt Fachmann Andreas Pohl. „Da findet sich immer ein Dummer, der sich freut und das Ding tatsächlich am Firmen-PC einsteckt.“ USB-Sticks sind ein generelles Sicherheitsproblem, eben weil der handliche Datentransport nicht immer gewollt ist. Der EDV-Sachverständige rät daher dazu, die USB-Ports zentral zu deaktivieren oder nur Geräte wie den Netzwerkdrucker zuzulassen.
Aber selbst, wenn die Mitarbeiter nichts Böses im Schilde führen, können sie durch Unwissenheit großen Schaden anrichten. Pohl empfiehlt deshalb grundsätzlich, die Mitarbeiter zu schulen. Dann sind sie auch gegen andere Techniken der Spione gewappnet, die oft mit den ältesten Maschen Erfolg haben. Vor allem aber kommen die Mitarbeiter nicht auf dumme Gedanken, die die gesamte Unternehmenssicherheit aushebeln können.
Gefährliche Abkürzung
Mit einfachen Lösungen aus dem Elektromarkt lässt sich immenser Schaden anrichten, wie ein Beispiel aus dem Leben zeigt: Ein Kunde von Pohl hatte 25.000 Euro in die IT-Sicherheit investiert und war insgesamt sehr gut aufgestellt. Doch ein halbes Jahr später war der gesamte Betrieb virenverseucht. Des Rätsels Lösung: Im Rahmen der IT-Sicherheit wurde auch der Zugriff auf die Buchhaltung über ein zentral gesichertes System eingerichtet, was zur Folge hatte, dass die Buchhalterin durch das mehrmalige Anmelden pro Tag eine Minute mehr Arbeit hatte.
Andreas Pohl von der Pohl Consulting Team GmbH ist gelernter Kommunikationselektroniker für Informationstechnik und seit über 20 Jahren in der Branche tätig. Der Spezialist für IT-bedingte Unternehmensrisiken, IT-Security und Datenschutz ist zertifizierter IT-Security Senior Consultant, geprüfter EDV-Sachverständiger, geprüfter Datenschutzbeauftragter und zertifizierter IT-Compliance-Manager.
Pohl Consulting Team GmbH, Mengeringhäuser Str. 15, 34454 Bad Arolsen, Tel.: 05691-8900501, info@pct.eu, www.pct.eu
Daher bat sie den technischen Leiter, mit dem sie liiert war, um eine einfachere Lösung. Der kaufte eine Fritz!-Karte für 69 Euro, baute sie in den PC ein – und sie konnte ohne Anmeldung das Online-Banking erledigen.
Allerdings ging sie jetzt nicht mehr über das zentral gesicherte System, sondern mit einem ungeschützten Rechner ins Internet. Die 25.000 Euro Sicherheitsmaßnahmen trat sie damit in den Mülleimer.
Es bleibt daher nichts übrig, als Schutzsysteme auch regelmäßig zu kontrollieren, betont Pohl. Das gilt auch in Hinblick auf die Programme, bei denen sich ständig etwas Neues tut.
Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Magazinreihe. Einen Überblick mit freien Download-Links zu sämtlichen Einzelheften bekommen Sie online im Pressezentrum des MittelstandsWiki.
Unüberschaubare Updates
Heutzutage gibt es eine noch nie da gewesene Vielfalt an Programmen und Hardware. Eine Software ist schnell installiert – und noch schneller vergessen, wenn sie nicht sauber dokumentiert wurde. „Häufig versichern mir die Kunden, dass sie die Programme und Updates selbst überwachen“, seufzt Pohl, „aber genauso häufig wissen sie gar nicht, welche Software sie überhaupt aufgesetzt haben.“
Übrigens: Die Mail-Adresse des Chefs kann durch die Adress-Syntax oft leicht herausgefunden werden. Wenn der Mitarbeiter Armin Meier heißt und die E-Mail-Adresse a.meier@firma.de hat, so lautet die Adresse des Chefs Hugo Müller aller Wahrscheinlichkeit nach h.mueller@firma.de. Pohl rät deshalb dazu, für den Geschäftsführer eine andere Mailsyntax einzuführen.
Ein anderes Problem ist, dass nicht jede Soft- und Hardware miteinander kompatibel ist. Bei Pohl möchten Kunden oft einen bestimmten Server bestellen, den sie sich in den Kopf gesetzt haben. Wenn er dann aber nachfragt, was sie damit konkret machen wollen, stellt sich am Ende allzu häufig heraus, dass diese Geräte dafür ungeeignet sind. Auf Nummer Sicher kann man im Grunde nur dann gehen, wenn ein Server für bestimmte Produkte zertifiziert ist. Bei Open-Source-Lösungen gibt es leider nur in ganz seltenen Fällen Zertifizierungen. Hier können unter Umständen Kompatibilitätslisten im Internet für Klarheit sorgen.
Haftung und Compliance
Die am meisten unterschätzte Gefahr sieht Pohl jedoch in den erhöhten Haftungsrisiken, die dadurch entstehen, dass bestimmte Gesetze nicht eingehalten wurden. So kann im Prinzip schon das Nutzen eines Spamfilters nach § 206 Strafgesetzbuch zu einer Straftat werden, weil Post unzulässig unterdrückt wird. Wie das? – „Wenn der Postbeamte einen an Sie adressierten Briefumschlag vor Ihren Augen aufreißt, hineinsieht, sagt ,Das ist nichts für Sie‘ und ihn wieder mitnimmt, dann begeht er eine Straftat“, erklärt Pohl. „Ein Spamfilter macht rechtlich gesehen nichts anderes.“
Teil 1 versucht es mit den ältesten Tricks. Warum? Weil sie immer noch funktionieren. Teil 2 arbeitet sich durch den Risikokatalog bis hin zu den Haftungsfragen. Teil 3 befasst sich schließlich mit den ins Kraut schießenden Compliance-Vorschriften. Ein Sonderbeitrag befasst damit, wie die aktuellen Cyberbedrohungen 2017 zu bewerten sind.
Wenn ein Unternehmer nämlich die private E-Mail-Nutzung nicht ausdrücklich verboten hat, wird er zum Provider; und damit unterliegt damit dem Post- und Fernmeldegeheimnis. Die private Nutzung muss also untersagt – und das Verbot muss überwacht werden. Sonst wird es durch die Hintertür zu einer so genannten betrieblichen Übung, also zur geduldeten Regel.
Das hat noch weitere Folgen, wie Pohl erklärt: „In diesem Fall darf der Unternehmer noch nicht einmal ohne Erlaubnis des Mitarbeiters den PC untersuchen, weil er z.B. Kinderpornografie auf dem Rechner vermutet. Das wäre eine Straftat, und alle Beweise, die durch eine Straftat erlangt werden, unterliegen dem Beweisverwertungsverbot und sind dadurch ungültig.“
- Mehr zu diesem Sicherheitsaspekt und seinen Haftungs- bzw. Schadensersatzrisiken erfahren Sie in Teil 3 dieser Serie.
