Welches ist die größte Gefahr für Ihr Computernetzwerk? Wenn Sie jetzt an Dinge wie fehlerhafte Microsoft-Programme ohne Patches, Würmer, Viren oder auch eine schwache Firewall gedacht haben, leben Sie unglücklicherweise hinter dem Mond.
Die größte Gefahr für Ihr IT-Unternehmen kennen Sie vermutlich sogar beim Vornamen. Denken Sie einmal darüber nach. Wer weiß besser darüber Bescheid, wie man sich Zugang zu Ihrem System verschafft - ein Hacker oder jemand, der auf demselben Flur arbeitet und dieselben Systeme verwendet?
Mitarbeiter aus der Datenverarbeitung, besonders Administratoren, haben Zugang zu den vertraulichsten und wertvollsten Daten eines Unternehmens, IT-Manager konzentrieren ihre Ressourcen jedoch weiterhin auf die Nachbesserung von Systemen und den Aufbau besserer Firewalls (beides sicherlich wichtige Dinge). Vielleicht liegt es daran, dass sie die reale Gefahr eines Angriffs von innen her nicht wahrhaben wollen, oder vielleicht wissen sie einfach nicht, wie sie damit umgehen sollen.Absoluten Vorrang sollte die Formulierung und Umsetzung von Regeln bezüglich der Mitnahme jeglicher Daten aus dem Unternehmen haben. Für viele mag dies ein ganz neuer Denkansatz sein, aber derartige Regeln müssen eingeführt und streng eingehalten werden. Dies wird besonders dadurch erschwert, dass viele Mitarbeiter auch daheim oder unterwegs arbeiten müssen. Auch hierfür müssen Regeln gefunden werden, aber der Genehmigungsprozess muss einfach sein, damit die Mitarbeiter ungehindert ihre Arbeit tun können.
Eine offensichtliche innere Bedrohung sind verärgerte Mitarbeiter, die einen Groll gegenüber der Firma hegen, aber eine weitere Gefahr geht von technischen Mitarbeitern aus, die Kopien wichtiger Dateien anfertigen, wenn sie das Unternehmen verlassen. Oft wird davon überhaupt keine Notiz genommen, weil es sich um eine fast selbstverständliche Sache handelt. Auf diese Art dokumentieren die Mitarbeiter ihre bisherige Tätigkeit und erhalten sich einige Ergebnisse ihrer Arbeit, die ihnen auch in Zukunft nützlich sein könnten.
Trotzdem könnten diese Mitarbeiter auch vertrauliche Informationen, wie Kundendateien und Firmengeheimnisse mitnehmen, ohne dass ihnen dies bewusst ist. Es ist wichtig, dass Sie die Mitarbeiter dazu anhalten, zur Dokumentation ihrer Projekte und Leistungen schriftliche Berichte anzufertigen und ihnen klarmachen, dass ein Mitnehmen von Dateien gegen die Firmenregeln verstößt.
Gekündigten Mitarbeitern sollte keinerlei Mitnahme von Dateien gestattet werden. Es sollte zum allgemein üblichen Vorgehen gehören, die Passwörter zu ändern, während der Mitarbeiter noch über die Kündigung informiert wird. Viele Unternehmen tauschen Schlösser aus und ziehen sämtliche schriftlichen Unterlagen ein, während sie den Angestellten innerhalb von Minuten nach der Kündigung vor die Tür befördern. Die IT-Sicherheit muss genauso gehandhabt werden, so unangenehm das auch sein mag.
Es ist extrem gefährlich, Menschen, die ihre Kündigung eingereicht haben oder den Arbeitsplatz wechseln zu gestatten, in ihrem Büro zu bleiben. Für den Übergangszeitraum könnte man ein gesondertes Büro mit einem Drucker, einem nicht mit dem Netzwerk verbundenen Computer und einem Telefonanschluss einrichten, um einem reibungslosen Wechsel zu gewährleisten, insbesondere dann, wenn der Mitarbeiter oder die Mitarbeiterin mit dem Abschluss laufender Projekte befasst ist.
Mitarbeiter, deren Kündigung bevorsteht und die bereits argwöhnen, dass ihnen gekündigt wird, stellen die größte potenzielle Gefahr für die vertraulichen Daten Ihres Unternehmens dar. Diese Mitarbeiter sollten das Unternehmen sofort verlassen und nicht erst, nachdem die Gerüchteküche eine Woche lang am Brodeln war. Verstehen Sie mich nicht falsch - geben Sie dem Mitarbeiter eine gute Abfindung, sorgen Sie für einen Termin bei einer Vermittlungsfirma und schmeißen Sie eine große Abschiedsfeier - stellen Sie lediglich sicher, dass er oder sie nicht mehr an vertrauliche Informationen gelangen können. Kein gekündigter Mitarbeiter sollte wieder einen Fuß ins Büro setzen, ohne dass er während der gesamten Zeit von jemandem begleitet wird und seine Passwörter ungültig gemacht wurden.
Weitere Vorschläge
- Untersagen Sie das Speichern von Firmendaten auf dem Heimcomputer, es sei denn, der Mitarbeiter ist berechtigt, auch zu Hause zu arbeiten.
- Erklären Sie, was für ein ernstes Verbrechen der Diebstahl von Informationen sein kann und denken Sie daran, die rechtlichen Konsequenzen zu betonen.
- Weisen Sie die Personalabteilung an, zu notieren, wenn ein Bewerber im Einstellungsgespräch zu viele Informationsmaterialien über das letzte Projekt liefert, an dem er gearbeitet hat. Dies ist ein Hinweis darauf, dass der Bewerber ähnliche Materialien mitnehmen wird, wenn er Ihr Unternehmen eines Tages verlässt. Zumindest sollten Sie im Gespräch auf diesen Umstand eingehen und ebenfalls auf die Unternehmenspolitik.
Unglücklicherweise hat die große Mehrheit der Mitarbeiter, die im Bereich Informationstechnologie für Sicherheit sorgen sollen nur wenig oder überhaupt keinen Hintergrund, was die Sicherheitsfragen im Umgang mit Arbeitnehmern oder im Objektschutz angeht. Da sie die Sicherheitsrisiken, die von den Menschen, mit denen sie zusammenarbeiten, ausgeht, nicht einschätzen können (oder sich derer einfach nicht bewusst sind), konzentrieren sie sich auf die namen- und gesichtslosen Angreifer aus dem Internet.
Am schnellsten erhöht man die IT-Sicherheit, indem man zusätzlich einen Mitarbeiter mit einem Hintergrund in der Polizeiarbeit anstellt. Wenn der- oder diejenige auch über technisches Wissen verfügt - um so besser. Zum Beispiel kann ein pensionierter Kriminalbeamter, auch wenn er nur in Teilzeit arbeitet, Ihr gesamtes Sicherheitsprogramm innerhalb von Tagen auf den Kopf stellen, indem er sein Augenmerk auf die Sicherheitsprobleme richtet, die durch Menschen entstehen.
Es geht hier nicht darum, Drogendealer oder Autodiebe zu fangen, Sie müssen Ihren neuen Sicherheitsmitarbeiter also mit einiger Sorgfalt auswählen. Um nicht an einen "Bad Cop" zu geraten, ziehen Sie nur Kandidaten in Betracht, die noch im Dienst sind, oder nach ihrer Pensionierung eine Rente beziehen. (Körperliche Behinderungen sind ein häufiger Grund dafür, früh in Rente zu gehen.) Es gibt natürlich auch ein paar gute Polizisten, die aus freien Stücken aus dem Dienst ausscheiden, aber Sie sind schließlich kein Experte auf diesem Gebiet. Andere Unternehmen, die über bessere Möglichkeiten verfügen, korrupte Polizisten auszuschließen, können sich dieser Leute annehmen.
Ein guter Ort, sich umzusehen sind die Polizeiwachen auf dem Gelände großer Universitäten. Die Polizisten dort sind den Umgang mit gebildeten Menschen gewohnt und den möglichen Problemen der Geschäftswelt gegenüber aufgeschlossen.Haben Sie jemals von Timothy Lloyd gehört? Wahrscheinlich nicht. Sie sollten aber von ihm gehört haben, da das, was mit diesem 39 Jahre alten Chef-Programmierer geschehen ist, sowohl Ihre Manager als auch Ihre Angestellten wachrütteln könnte. Lloyd war 10 Jahre lang Chef-Programmierer für das Rüstungsunternehmen Omega Engineering. Dann wurde er degradiert und entschied, dass man ihn schlecht behandelt habe. Anstatt sich nach einem neuen Job umzusehen, legte er eine Software-Bombe, die viele wichtige Dateien des Unternehmens löschte und einen geschätzten Schaden von zehn Millionen Dollar anrichtete.
Manager können daraus lernen, dass sogar langjährige Mitarbeiter eine Bedrohung für ihre wichtigsten Datenbestände darstellen können. Angestellte müssen sich darüber im Klaren sein, dass Lloyds Tat eine Verletzung des "Federal Fraud and Related Activities in Connection with Computers Act" von 1994 darstellt. Nach jahrelangen Gerichtsverhandlungen wurde Lloyd kürzlich zu dreieinhalb Jahren Haft im Bundesgefängnis und 2 Millionen Dollar Schadensersatz verurteilt.
Dieser kürzlich von Reuters berichtete Fall könnte einigen Angestellten, die das Herumspielen an den Computern des Unternehmens als ihr gutes Recht und nicht als ein potenzielles Verbrechen betrachten, die Augen öffnen.Nun zu den schwierigen Fragen. Muss die Informationstechnologie sich selbst überwachen? Der Spion, der im vergangenen Jahrhundert den größten Schaden anrichtete, war einer der Top-Agentenjäger des FBI und somit in der Lage, seine Aktivitäten perfekt zu verschleiern. Robert Hanssen ging jeden Tag in die katholische Messe und sprach sich bei jeder Gelegenheit gegen die Bedrohung aus, die der Kommunismus darstellte, aber er arbeitete auch für die Sowjets und später für die Russen. Der Fall Hanssen zeigt, wie gefährlich es ist, die Wächter nicht zu bewachen.
Wenn Sie Ihre Daten wirklich sichern wollen, so geht der Trend (den ich seit 20 Jahren verfechte) jetzt dahin, sowohl die elektronische als auch die physische Sicherheit in Ihre Planungen einzubeziehen und sich nicht gänzlich darauf zu verlassen, dass die IT-Spezialisten sich selbst überwachen. Am Ende steht immer wieder der Mensch und man kann nicht einfach aufgrund der äußeren Erscheinung sagen, wem man vertrauen kann und wem nicht.
Es gibt nur einen Weg, Ihr Unternehmen wirklich sicher zu machen: Der Sicherheitsdienst muss die Datenverarbeitung überwachen und die Datenverarbeitung den Sicherheitsdienst, beide müssen ihre Berichte unabhängig voneinander dem Aufsichtsrat vorlegen und nicht nur einer einzelnen Person, die sich als ein zweiter Hanssen entpuppen könnte.