Am vergangenen Donnerstag, den 16. Juni 2022 fand im Deutschen Hygienemuseum in Dresden der IT-Sicherheitstag Sachsen unter dem Thema „Der menschliche Faktor in der Informationssicherheit“ statt. Zugegen waren u.a. Herr Thomas Popp (Mitglied der Staatsregierung und CIO, Sächsische Staatskanzlei), Herr Steinig (Beauftragter für Informationssicherheit des Landes (CISO) Freistaat Sachsen), Herr Hoppenz (Fachbereichsleiter Cyber-Sicherheit in mobilen Infrastrukturen und Chiptechnologie, Bundesamt für Sicherheit in der Informationstechnik Freital) sowie zahlreiche weitere Vertreter und Vertreterinnen aus Verwaltung und Wirtschaft. Über die Veranstaltung und die Key Takeaways soll der nachfolgende Beitrag berichten.
WAS WAR GEGENSTAND DES IT-SICHERHEITSTAGES?
Der thematische Schwerpunkt der Veranstalter lag eindeutig auf der Sensibilisierung und der tragenden Rolle des Nutzers in der Informationssicherheit sowie dem digitalen Verbraucherschutz. Mehrere Akteure betonten richtigerweise immer wieder, dass aufgrund der angespannten und sich stetig zuspitzenden Cyber-Sicherheitslage es nicht mehr länger um die Frage geht, ob man Opfer eines möglichen Cyber-Angriffs wird, sondern wann dies der Fall sein wird. Die Beispiele für (erfolgreiche) Cyber-Angriffe sind zahlreich und haben mittlerweile den Status erreicht, dass man auch in der Tagespresse an diesbezüglichen Berichten nicht mehr vorbeikommt. Die Bedrohungen sind allgegenwärtig und mittlerweile zum Alltag geworden. Hinzu tritt eine sehr starke Professionalisierung des Bereiches der Cyberkriminalität. Längst ist Cybercrime as a Service in Form von illegalen Plattformen und Marktplätzen kein neues Phänomen mehr, sondern harte Realität. Die Täter profitieren hier zunehmend von einer stetig steigenden Vernetzung. Umso wichtiger ist die Stärkung des vermeintlich schwächsten Gliedes in der Verteidigungskette: des Nutzers. Jeder umsichtige Nutzer trägt bereits zu einer Stärkung der Informationssicherheit bei, da die Nutzer unstreitig zentrales Element bzw. zentraler Bestandteil eines jeden Sicherheitssystems sind. Erforderlich ist jedoch, dass die Nutzer für das Thema Informationssicherheit „abgeholt“ werden und nicht nur mit negativen Auswirkungen konfrontiert werden, denn nur der verständige und aufgeschlossene Nutzer wird zum erfolgreichen Baustein. Gleichwohl darf bei den Nutzern keine Übersättigung der Sensibilisierung zur Informationssicherheit eintreten.
Ebenfalls Teil der Veranstaltung waren mehrere Fachforen. Hierbei ging es u.a. um die Fragen „Wie erreichen wir den User – warum brauchen wir den User?“ und „IT-Sicherheit: wie kann die Wirtschaft unterstützen.“ Außerdem wurde unter dem Titel „Live-Hacking: Corona, Home-Office und zurück ins Büro“ von Roland Schreckenberg und Mike Seidel von ML Consulting Schulung, Service & Support GmbH ein Live-Hacking durchgeführt. Hierbei konnten den Zuschauern Schwachstellen, Risiken und Gefahren im Zusammenhang mit offenen WLAN- oder Bluetooth-Schnittstellen, Ransomware- oder Phishing-Attacken, Passwortsicherheit sowie Gefahren im Homeoffice bspw. durch IoT-Geräte näher gebracht werden.
WELCHE MAßNAHMEN SOLLTEN DURCH SÄMTLICHE EINRICHTUNGEN UMGESETZT WERDEN?
Ähnlich zum Bereich des Datenschutzes werden ebenfalls auf dem Gebiet der Informationssicherheit oftmals Argumente hinsichtlich des Zeit- und Kostenfaktors vorangestellt, um eine fehlende Sensibilisierung bzw. mangelhafte Umsetzung auf diesem Gebiet zu rechtfertigen. Dabei können eine Vielzahl kleinerer und einfach umzusetzender Maßnahmen bereits einen erheblichen Sicherheitsgewinn darstellen. Auch der Kommunikation zwischen der Leitungsebene und den Beschäftigten kommt eine wichtige Rolle zu: Werden Bedürfnisse in der alltäglichen Arbeit der Beschäftigten nur unzureichend berücksichtigt, kann es unter Umständen zu einem unbeherrschbaren Umfang an sogenannter Schatten-IT kommen. Unter dem Begriff der Schatten-IT sind sämtliche informationstechnische Systeme, Prozesse, Anwendungen und Endgeräte zu verstehen, welche durch einzelne Fachbereiche oder Beschäftigte einer Einrichtung ohne Freigabe oder gar Kenntnisnahme der IT-Abteilung bzw. der Leitungsebene angeschafft und eingesetzt werden. Eine Betrachtung von Sicherheitsaspekten unterbleibt hierbei oftmals gänzlich.
Sicherlich wird die Problematik von Schatten-IT innerhalb einer Einrichtung nicht von heute auf morgen angegangen werden können, eine rasche Aufarbeitung empfiehlt sich dennoch. Daneben sollten weitere wichtige Maßnahmen getroffen werden, unter anderem:
– Zugriffsschutz: Die dienstlichen Geräte und deren Anwendungen müssen durch Schutzmaßnahmen wie PIN und Passwort abgesichert werden. Bei Abwesenheit sind die Geräte durch die Nutzenden zu sperren. Darüber sollte einrichtungsübergreifend eine automatische Sperrung der Geräte und Abmeldung der Nutzendenkonten erfolgen.
– Passwortsicherheit: Mittels (technischer) Richtlinien ist die Nutzung angemessener Passwörter festzulegen. Ein Passwort sollte mindestens acht bis zwölf Zeichen umfassen, Groß- und Kleinschreibung, Ziffern sowie Sonderzeichen enthalten. Voreingestellte Passwörter sind umgehend zu ändern. Die Anzahl zulässiger Fehlversuche ist gering zu halten. Die Nutzung von sogenannten Passwort-Safes ist zu ermöglichen.
– Untersagung privater Nutzung dienstlicher Hard- und Software: Neben datenschutzrechtlichen Schwierigkeiten birgt die private Nutzung dienstlicher IT ebenfalls Risiken im Bereich der Informationssicherheit. Aufgrund einer privaten Nutzung kann es zu einem erhöhten Risiko für einen Befall mit Schadsoftware kommen. Für private Anliegen kann ein separates Netzwerk zur Verfügung gestellt werden, mit dem private Endgeräte verbunden werden dürfen.
– Untersagung des Einsatzes privater Hard- und Software: Problematisch an der Nutzung privater Hard- und Software ist, dass diese oftmals keine rechtliche und technische Überprüfung durchlaufen hat und nicht durch die IT der Einrichtung administriert werden kann. Die Schutzziele der Informationssicherheit können somit nicht vollumfänglich gewährleistet werden.
– Regelung der Nutzung externer Clouddienste: Die Nutzung von Clouddiensten bedarf einer umfangreichen Prüfung der rechtlichen und technischen Gegebenheiten. Eine Regelung zur Nutzung externer Clouddienste sollte Festlegungen hinsichtlich der Nutzungsszenarien sowie freigegebener Clouddienste enthalten.
– Nutzung von mobilen Datenträgern: Bei mobilen Datenträgern ist das Risiko eines Verlustes besonders hoch. Daher sollten diese technisch durch eine Verschlüsselung nach aktuellem Stand der Technik geschützt werden. Darüber hinaus empfiehlt sich die Etablierung einer Regelung, für welche Verwendungszwecke und Informationen die Nutzung mobiler Datenträger zulässig ist.
– Netzwerksegmentierung: Je nach Verwendungszweck, Schutzbedarf und Risiko sollten unterschiedliche Netzwerke genutzt werden. Die Nutzung eines separaten Netzwerkes empfiehlt sich insbesondere für die Nutzung von privaten Endgeräten und für SmartHome-Geräte. Letzteres sollte besonders im Rahmen von Regelungen zu mobilen Arbeiten und Homeoffice berücksichtigt werden.
– Deaktivierung von Schnittstellen: Verbindungsschnittstellen sind ein beliebtes Angriffsziel, um so unbefugt auf Geräte und Informationen zugreifen zu können. WLAN- und Bluetooth-Schnittstellen sollten aus diesem Grund nur bei einer tatsächlichen Nutzung aktiviert und anschließend unverzüglich wieder deaktiviert werden.
FAZIT
Die Anzahl der Cyber-Angriffe nimmt stetig zu. Einrichtungen und Nutzende sind hierbei jedoch nicht schutzlos ausgeliefert. Die Durchführung von Sensibilisierungsmaßnahmen sowie die Umsetzung zahlreicher kleiner technischer und organisatorischer Maßnahmen können bereits einen erheblichen Sicherheitsgewinn darstellen. Wichtig ist, dass das Bewusstsein für diese Thematik und die allgegenwärtigen Risiken gestärkt wird. Gern unterstützen wir auch Sie bei der Umsetzung.
Über die Autoren:
Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.