Sichere Datenräume für Mitarbeiter – Wer trägt die Verantwortung für vollständige Sicherheit?

Sichere Datenräume für Mitarbeiter

Für die Sicherheit der IT muss der CIO die Basis schaffen, aber er kann nicht alleine die Verantwortung übernehmen. Das Bewusstsein und Handeln der Mitarbeiter ist genauso wichtig. Nur sensibilisierte und geschulte Mitarbeiter erkennen die Tragweite leichtsinnigen Verhaltens.

Das Wasser in seiner Wohnung war kalt. Der Mann aus Thüringen kaufte sich einen Boiler im nahen Baumarkt und installierte ihn selbst. Das Gerät war in China hergestellt und als »geprüft und sicher« markiert worden. Nach kurzer Zeit explodierte der Boiler und verletzte seinen Besitzer; der verklagte den Hersteller, das Gericht entschied: da der Mann die Betriebsanleitung ignoriert und keinen Fachmann zur Installation hinzugezogen habe, trage er selbst das Risiko. Der Hersteller könne keine vollständige Sicherheit garantieren, schon gar nicht, wenn die Regeln nicht eingehalten würden.

Collaboration und Filesharing. Völlige Sicherheit gibt es nicht. Ein CIO weiß das, denn sein Alltag besteht aus dem Abwägen zwischen Sicherheit und den Bedürfnissen seiner Mitarbeiter und des Unternehmens. Ein Beispiel ist das Thema Collaboration und Filesharing: gerade Lösungen, die aus dem Consumer-Bereich ins Unternehmen wechseln, sorgen bei CIOs für Kopfschmerzen. In der aktuellen Diskussion werden immer wieder Hacks und Datenverluste großer Consumer-Cloudanbieter bekannt – seien es nun sensible Bilder oder Millionen von Passwörtern, die gestohlen wurden. Alleine, Mitarbeiter sehen in solchen Angeboten oft nicht das Sicherheitsrisiko, sondern nur einen Helfer, der so vieles zu vereinfachen scheint. Die Erwartungen des Unternehmens und der Mitarbeiter gehen auseinander – was bleibt dem CIO zu tun?

Natürlich könnte die IT-Abteilung alle unpassenden Angebote, die entdeckt werden, teilweise oder komplett sperren. Das ist in einigen Unternehmen auch die Regel. Doch durch solch drastische Maßnahmen entstehen meist neue Probleme – abgesehen davon, dass Mitarbeiter wie Flüsse sich immer einen neuen Weg suchen, solange ihr Ziel nicht erreicht ist, und eben zum nächsten Webdienst wechseln.

Auch die Nutzung von Smartphones erweist sich in diesem Zusammenhang als problematisch. Auf seinem persönlichen Smartphone E-Mails abzurufen und Dateien zu teilen ist heute vielen selbstverständlich. Hier erweist sich eine Sperrung – keine E-Mails auf dem Smartphone, keine Smartphones auf dem Gelände – als noch größere Unmöglichkeit. Schließlich gehören mobile Geräte heute zur Grundausstattung einer mobilen Mitarbeiterschaft, die Kontrolle privater Geräte aber wäre ein unverzeihliches Eindringen in die Privatsphäre. Was bleibt dem CIO also dagegen zu tun?

Heißes Wasser muss fließen. Warum müssen sensible Daten überhaupt geteilt werden? Wäre es nicht sicherer, alles einzusperren und abzuschotten? Die einfache Antwort lautet Nein. Mitarbeiter müssen mit externen Kollegen, das Unternehmen muss mit Kunden und Partnern kommunizieren – und dabei werden Informationen getauscht, auch sensible. Diesen Fluss abzudrehen ist keine Option.

Wir leben in einer Ära des Teilens. Dateien, die sich nicht teilen lassen, erscheinen jungen Mitarbeitern aus der digitalen Generation wie Cornflakes ohne Milch. Unternehmen wachsen und verteilen sich mehr und mehr, und Collaboration über Standorte und Länder hinweg ist längst Alltag geworden. Wie kann also der CIO auf diese Anforderungen von Unternehmen und Mitarbeitern reagieren, und dennoch Sicherheit gewährleisten?

Externe Collaboration-Tools, wie Dropbox und andere aus dem Consumer-Umfeld, zu nutzen wäre eine schnelle Lösung. Doch wenigstens bei Dropbox ist es erwiesen, dass niemand garantieren, nachvollziehen oder vorhersagen kann, wo geteilte Daten letztlich landen. Sollten Daten verloren gehen oder eine vollständige Nachvollziehbarkeit der Daten gefordert sein, wäre der Kopf des CIOs in der Schlinge.

Viele CIOs wünschen sich ein unternehmenseigenes Netzwerk, für das jeder Mitarbeiter einen eigenen, nachverfolgbaren Zugang bekommt. Diese Lösung wäre zeitintensiv, aber wenigstens sicherer als externe Lösungen. Der Zugriff wäre außerdem eingeschränkt, folglich von einem anderen Ort als dem Arbeitsplatz unmöglich.

Doch bei aller Unbequemlichkeit, die eine derartige Lösung bringt, ist sie trotzdem nicht risikofrei. Ist ein Mitarbeiter auch nur ein bisschen nachlässig und vergisst etwa, sich wieder auszuloggen, ist die Sicherheit des gesamten Netzwerks gefährdet. Folglich spielt das Sicherheitsbewusstsein der Mitarbeiter eine wichtige Rolle.

Wer trägt die Verantwortung? Vom technischen Standpunkt muss ein Unternehmen natürlich eine Collabora-tion-Lösung verwenden, die ihre Daten bestmöglich schützt und gleichzeitig eine echte Zusammenarbeit ermöglicht. Doch es wird deutlich, dass für die Sicherheit nicht alleine der CIO verantwortlich ist. Das Bewusstsein und Handeln der Mitarbeiter ist genauso wichtig – nur leider ist dieser Sicherheitsgedanke bei den meisten nicht in der benötigten Größenordnung ausgeprägt. Es ist daher mindestens ebenso wichtig, Mitarbeiter über mögliche Sicherheitsrisiken aufzuklären.

Nur ein Beispiel: auch heute noch lassen viele ihre Passwörter offen an ihrem Arbeitsplatz liegen, ohne sich über die Konsequenzen Gedanken zu machen. Hier kann eine Clean-Desk-Policy helfen, um solche Fehler zu vermeiden.

Fazit. Collaboration-Lösungen und Boiler sind gar nicht so verschieden: Heißes Wasser soll fließen, ebenso wie Informationen im Unternehmen. Sicherheit muss bei beiden gegeben sein. Wie wir sehen, gibt es keine vollständige Sicherheit, sondern die Nutzung und die Einhaltung von Regeln entscheiden letztlich über das Ergebnis.

Daher ist auch nicht der CIO alleine verantwortlich, wenn ein Mitarbeiter einen Fehler macht; doch er muss versuchen, die Bedürfnisse der Mitarbeiter zu erkennen, um die Einhaltung der Regeln durchzusetzen. Wo allein Verbote herrschen, wird sich kein grundlegendes Sicherheitsbewusstsein bilden. Es gilt, die Mitarbeiter darin zu schulen, die Tragweite leichtsinnigen Verhaltens zu erkennen und im Vorfeld zu unterbinden. Am einfachsten gelingt dies, wenn alle Beteiligten die Notwendigkeit dieser Regeln verstehen und der CIO die Last der Sicherheit nicht alleine trägt.


Frank Müller,
Director EMEA Enterprise Marketing, Intralinks

Bild: © alphaspirit/shutterstock.com 

Weitere Artikel zu