Für alle Inhaber, Entscheider und Führungskräfte aus mittelständischen Unternehmen
Wissen & Services für Unternehmen
Whitepaper
Classic Powered by:
www.nextbusiness-it.de
Mitarbeiter wollen mehr Anleitung
© istockphoto.com/texelart
Existenzfaktor IT-Sicherheit
© G+F Verlags- und Beratungs- GmbH
2
Wissen & Services für Unternehmen
Inhalt
Mitarbeiter verlangen nach praktischer Hilfestellung
3
Schlüsselergebnisse 3 Initialer Schritt: Die Mitarbeiter mit ins Boot holen
4
Im Geschäft angekommen: Private Geräte und Dienste
4
Digitale Daten als zentralen Geschäftsfaktor verstehen und schützen
4
Sicherheit und Awareness 5 Der Feind neben mir? – Vorbeugen ist alles
5
Confidence Heatmap 6 Reichen Firewall und Virenscanner noch aus?
6
McAfee keeps Business safe – als Berater und mit führenden Technologien
7
Statement Sascha Plathen, Manager Channel Sales Central Europe, McAfee GmbH: Für Cybersicherheit sind alle verantwortlich …
7
Impressum 8
Mitarbeiter wollen mehr Anleitung – Existenzfaktor IT-Sicherheit
Whitepaper – Classic
N
iemand wird ernsthaft infrage stellen, dass ITInvestitionen im Unternehmen Nutzen stiften. Ungeachtet dessen muss aber eines klar sein: Beim weltweiten Netzwerken im Internet, beim Zugriff auf geschäftsrelevante Informationen und Business Apps von unterwegs mit dem Handy, bei der digitalen Auswertung großer Datenmengen usw. gibt es Risiken, die die Anforderung des Unternehmens, alle sensiblen Daten und Anwendungen zu schützen, gefährden. Sei es intern durch die Mitarbeiter, die jeden Tag wertvolle Unternehmensdaten in einer immer komplexer werdenden IT-Umgebung verarbeiten, oder durch Angriffe von extern – sowohl von Hackern als auch in Form von Schadsoftware.
Mitarbeiter verlangen nach praktischer Hilfestellung Wie schafft ein Unternehmen den Spagat zwischen den Ansprüchen der Mitarbeiter, deren Sensibilisierung und Schulung, den Anforderungen der Kunden und Geschäftspartner, den technologischen Möglichkeiten und hoher Effektivität in der Umsetzung?
Wer als Top-Entscheider im Zeitalter zunehmender Gefahren nicht nur aus dem Cyberspace die Abläufe im Unternehmen sicher ausrichten möchte, dem sei grundsätzlich empfohlen, Regeln zu initiieren bzw. vorzugeben, an die sich die Angestellten halten müssen. Vorschriften alleine reichen jedoch noch nicht aus. Um eine Sicherheitsstrategie im Unternehmen nachhaltig zu gewährleisten, müssen alle Mitarbeiter „ins Boot geholt“ werden – nicht nur der Chef und die IT-Verantwortlichen. Leider, so zeigt eine repräsentative Umfrage des Sicherheitsspezialisten McAfee unter 1.000 Angestellten in deutschen Unternehmen zwischen 25 und 100 Mitarbeitern, ist dies bislang in den seltensten Fällen der Fall. Hier und heute werden vielen Beschäftigten nicht alle notwendigen Informationen zur Verfügung gestellt, um in puncto IT-Sicherheit konsequent „am Ball“ zu bleiben, sprich: mit einem Gefühl von Sicherheit zu handeln. Von den befragten Mitarbeitern, deren Rechner (bzw. die zugrunde liegende IT-Infrastruktur) schon einmal von einem Schadprogramm infiziert war, hatte
Quelle für alle Grafiken in diesem Whitepaper: McAfee Umfrage 2013 unter 1.000 Angestellten in deutschen Unternehmen zwischen 25 und 100 Mitarbeitern
© G+F Verlags- und Beratungs- GmbH
3
4
Wissen & Services für Unternehmen
laut eigenen Angaben nur ein Viertel jemals ein Training zu beispielsweise Passwort- oder E-Mail-Sicherheit erhalten. Nur 149 von 1.000 Firmen haben Vorgaben für mobile Sicherheit, 53 von 1.000 zu Cloud Security erhalten. Halten wir kurz inne: Was passiert, wenn zum Beispiel ein Virus eine projektrelevante Datei unbrauchbar macht und sich damit die Fortsetzung des Projekts verzögert? Oder was passiert, wenn das Geschäftshandy gestohlen oder im Zugabteil, am Flughafen oder im Taxi liegen gelassen wird? 145 von 1.000 Mitarbeitern wissen im Fall der Fälle nicht, mit wem sie Kontakt aufnehmen sollen, um diese Situation schnell zu lösen. Minuten, Stunden, unter Umständen Tage vergehen, bis seitens des Unternehmens auf die Infektion oder den Verlust reagiert werden kann. So lange wird Kriminellen Tür und Tor auf Ihr Firmennetz geöffnet – ihnen also die Möglichkeit gegeben, im schlimmsten Fall mit gespeicherten Dokumenten, Adressen und Kundendaten Schindluder zu treiben. Dann ist der Aufschrei groß und eine Anzeige für das Unternehmen (bzw. die Verantwortlichen) möglich, wenn nicht gar wahrscheinlich. Ein durchdachtes Sicherheitskonzept, das die Mitarbeiter mit einbezieht, ist also in jedem Unternehmen gefragt.
Initialer Schritt: Die Mitarbeiter mit ins Boot holen Vorbeugung ist immer noch der beste Schutz – und der Wille der Mitarbeiter „pro Security“ definitiv da. So zeigen die Ergebnisse der zuvor genannten Umfrage, dass sich 80 Prozent der befragten Angestellten Schulungen und Anleitung in Sachen sicherer Umgang mit IT wünschen. Aus Sicht von McAfee ergibt sich damit die folgende Empfehlung an alle Unternehmenslenker: Gemeinsam mit allen beteiligten Mitarbeitern muss erörtert werden, warum, in welcher Ausprägung und insbesondere wie Know-how in Sachen IT-Sicherheit entwickelt, zur Verfügung gestellt und dann auch im Unternehmen erhalten werden kann. An dieser Stelle zwei zentrale Anregungen: Allen Mitarbeitern wird vor Augen geführt, dass sie mit dem sicheren Umgang der IT dazu beitragen, ihren Arbeitsplatz zu sichern.
Alle Mitarbeiter sind dazu angehalten, sämtliche Methoden, die sie in die Lage versetzen, mit ITbasierten Informationen sicher umzugehen, verstehen zu lernen. Für die Verbesserung der eigenen IT-Sicherheitskompetenz ist eine Vielzahl von Lern- und Qualifizierungsmöglichkeiten denkbar: regelmäßige Besprechungen mit dem IT-Verantwortlichen etwa, interne Workshops, außerbetriebliche Schulungen oder auch digitale Lernformen. Dabei sollten die beiden nachfolgenden Anforderungen bei der Bewertung von Maßnahmen unbedingt in Betracht gezogen werden: Das Angebot sollte individuell auf den jeweiligen Mitarbeiter zugeschnitten sein und diesen auf seinem Wissensstand abholen. Das Angebot sollte sich an den Anforderungen der Sicherheitsstrategie im Unternehmen orientieren.
Im Geschäft angekommen: Private Geräte und Dienste Private mobile Geräte, sicher und effektiv in die Geschäftsprozesse eingebunden, neudeutsch: „Bring your own Device“ (BYOD), eröffnen mehr Handlungsspielraum. Beispielsweise nutzen mehr als 20 Prozent der Angestellten laut eigenen Angaben ihre privaten Handys, um Geschäfts-E-Mails abzurufen und geschäftliche Vorgänge zu bearbeiten. Ferner werden aber auch immer mehr private SoftwareDienste wie Webmail oder Filesharing (zum Beispiel Dropbox), aber auch Online-Speicher wie Google Drive auf Arbeitsrechnern genutzt. Ungeachtet des Vorteils der größeren Flexibilität muss eines klar sein: Berücksichtigen Sie in jedem Fall, dass damit eine Parallelinfrastruktur geschaffen wird, in der sich vonseiten des Unternehmens nur noch schwer kontrollieren lässt, wo Daten verwaltet, gespeichert oder weitergegeben werden.
Digitale Daten als zentralen Geschäftsfaktor verstehen und schützen 83 Prozent der Angestellten in kleinen bis mittelständischen Unternehmen halten digitale Daten für einen
Mitarbeiter wollen mehr Anleitung – Existenzfaktor IT-Sicherheit
Whitepaper – Classic
zentralen Business-Faktor. Rund zwei Drittel arbeiten tagtäglich mit geschäftsrelevanten Rechnungs-, Produkt- und Kundendaten – ob nun im Büro, Homeoffice oder von unterwegs. Wie sieht es mit dem Schutz der Quelle dieser Informationen aus – seien es Dokumente, Bilder, Videos oder Datenbanken? Wie ist es um die Sicherheit dieser Daten bestellt, wenn sie über das Unternehmensnetzwerk übertragen werden? Das sind zwei exemplarische Fragen, die sich Unternehmenslenker unter dem Aspekt der umfassenden Sicherheit dieser Daten stellen sollten. Dass beim Zugriff auf Daten und Prozesse, beim Dialog mit den Kollegen, Geschäftspartnern und Kunden oder auch bei der Herangehensweise an Projekte jeder Mitarbeiter anders „tickt“, dürfte für viele Unternehmen eine zusätzliche Herausforderung sein.
© G+F Verlags- und Beratungs- GmbH
Der Feind neben mir? – Vorbeugen ist alles Bemerkenswert: Die größte Bedrohung sehen die befragten Mitarbeiter in den eigenen Reihen. Sie haben Angst, aus Unwissen Sicherheitslecks zu verursachen. Vor allem in Bezug auf den sicheren Umgang mit Daten auf mobilen Geräten, in Social Communities und der Cloud fühle man sich unsicher. Ganz unbegründet ist diese Sorge nicht: Fast elf Prozent der Befragten haben schon einmal einen Vorfall beobachtet, der von einem Kollegen ausging. Der eine oder andere gibt sogar zu, selbst schon einmal – nicht mutwillig – an einem Vorfall schuld gewesen zu sein. Dass bei den Mitarbeitern ein grundsätzliches Problembewusstsein vorzuherrschen scheint, ist eine große Chance für das Unternehmen. Eine Chance zum Beispiel dafür, die Mitarbeiter als wichtige Säule eines jeden Sicherheitskonzepts an Bord zu holen, mit den Risiken vertraut zu machen, entsprechend zu schulen, um so das Firmennetzwerk sicherer zu machen. Vorbeugung sollte in der Praxis zumindest die folgenden
5
6
Wissen & Services für Unternehmen
Maßnahmen sowohl seitens des Arbeitgebers als auch des Mitarbeiters beinhalten:
Reichen Firewall und Virenscanner noch aus?
Zwischen dem Unternehmen und seinen Mitarbeitern ist einvernehmlich festgelegt, wer welche Zugriffsrechte auf Anwendungen und Daten hat.
In vielen Unternehmen herrscht immer noch die Annahme, sie seien zu klein, um als Ziel für die „Cybermafia“ zu taugen, und die potenzielle Datenbeute sei für die Hacker nicht lukrativ genug. Ein mitunter fataler Trugschluss!
Es wurden verantwortliche Personen bestimmt, die für die Definition und Einhaltung der IT-Sicherheitsrichtlinien im Unternehmen zuständig sind. Insofern im Unternehmen selbst keine ausreichenden IT-Kompetenzen vorhanden sind, werden die Belange der IT-Sicherheit an einen externen Dienstleister mit entsprechender Fachkenntnis vergeben. So kann sich das Unternehmen auf das Wachstum konzentrieren. Mitarbeiter, die regelmäßig mit vertraulichen Daten arbeiten, erhalten Trainings (etwa in Sachen mobile Sicherheit, Cloud Security, Schutz vor Schadprogrammen). IT-Lösungen stehen zur Verfügung, die Sicherheit (in Bezug auf z. B. externe Angriffe, Viren, Spyware oder auch Datenverlust) überhaupt erst ermöglichen.
Unternehmen, die nicht auf ihren Patenten aufgebaut sind, arbeiten in den meisten Fällen doch mit Kunden- oder Kontodaten. Gerade der daraus in diesen Unternehmen resultierende schwächere Schutz von IT und Daten lockt Kriminelle an. Schenkt man aktuellen Studien Glauben, so zielen rund 75 Prozent der Cyberangriffe auf geschäftsrelevante Informationen in Unternehmen des Mittelstands ab.1 Dies alleine zeigt die Bedeutung professioneller, wirksamer Schutzmechanismen in diesen Betrieben. Sie wird weiterhin verstärkt durch Anforderungen wie die folgenden: Alle zugriffsberechtigten Endgeräte müssen ins Firmennetz integriert und verwaltet werden.
1 Quelle: Small Business Study der National Cyber Security Alliance, Oktober 2012
Mitarbeiter wollen mehr Anleitung – Existenzfaktor IT-Sicherheit
Whitepaper – Classic
IT-Compliance-Richtlinien2 (Gesetzgeber, Geschäftspartner, Finanztransaktionen wie z. B. PCI3) in Bezug auf Datensicherheit und -schutz sind zu erfüllen. Der Kostenaufwand ist zu minimieren. Unternehmen, die hier ausschließlich „traditionell“, also mit Antivirus-Software und Firewall, sichern, haben – so ein Report der Aberdeen Group vom Januar 20134 – am Ende unter Umständen höhere Kosten für Endgerätesicherheit und ein Vielfaches an Ausgaben für Netzwerksicherheit gegenüber solchen Unternehmen, die eine umfassende Sicherheitsarchitektur einsetzen. Für weiterführende Informationen hierzu nutzen Sie bitte die McAfee Whitepaper „Ziehen Sie eine digitale Schutzmauer um Ihr Unternehmen!“ und „KMU profitieren von IT-Sicherheitslösungen aus der Cloud“. Download unter http://mcafee.nextbusiness-it.de
McAfee keeps Business safe – als Berater und mit führenden Technologien Angenommen, Sie verstehen also alle geschäftsrelevanten Daten als für den Erfolg und das Wachstum Ihres Unternehmens lebensnotwendiges „Öl“. Server, Speicherlösungen und Kabel stellen Ihnen die notwendigen Tanks und Pipelines zur Lagerung und zum Transport dieser Daten zur Verfügung. Dann sehen Sie bitte in IT-Sicherheitslösungen unbedingt den zugehörigen „Brand- bzw. Unfallschutz“. Also sinnvolle Werkzeuge, die Sie dabei unterstützen, die Vertraulichkeit, Verfügbarkeit und Unversehrtheit sensibler Dokumente, Bilder, Videos oder Datenbanken zu sichern. McAfee und sein umfassendes Partnernetz stellen hier die entsprechenden Produkte und Services zur Verfügung und können auch im Bereich Mitarbeiter-Schulung unterstützen. Kontaktaufnahme über
McAfee GmbH 2 Sämtliche Gesetze, Regeln und Vorschriften, die mit dem IT-Einsatz im Unternehmen zu tun haben 3 Payment Card Industry Data Security Standard für den rechts sicheren Zahlungsverkehr in Unternehmen 4 „Modernisierung der Sicherheitssysteme für kleine und mittlere Unternehmen – Empfehlungen“, Report der Aberdeen Group
Ohmstraße 1 D-85716 Unterschleißheim Tel.: ++49 (0) 89 3707 0 Fax: ++49 (0) 89 3707 1199 E-Mail: info_deutschland@mcafee.com Internet: www.mcafee.com/de
Für Cybersicherheit sind alle verantwortlich … „… Unternehmer, deren IT-Personal und Angestellte, aber auch Sicherheitsanbieter wie McAfee. Das ist ein Grund dafür, warum wir offizieller Partner der Allianz für Cybersicherheit geworden sind, einer Initiative des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Gemeinsam verfolgen wir das Ziel, für mehr IT-Sicherheit in den Unternehmen zu sorgen. Meine Empfehlung an Sie: Nutzen Sie die von McAfee zur Verfügung gestellten Whitepaper und Reports, um die Gefahren besser einschätzen und diesen dann auch erfolgreich begegnen zu können.“ Sascha Plathen, Manager Channel Sales Central Europe, McAfee GmbH
© G+F Verlags- und Beratungs- GmbH
7
nextbusiness-IT bietet mehr!
Downloads und Videos, SocialMedia-Updates, Unternehmensprofile sowie Kontakt möglichkeiten zu McAfee finden Sie bei uns im Internet.
http://mcafee.nextbusiness-it.de
Impressum Verlagsanschrift: G+F Verlags- und Beratungs- GmbH, Kapellenstraße 46, 76596 Forbach, Telefon: (0 72 20) 2 13, Telefax: (0 72 20) 2 15, info@gf-vb.de, www.gf-vb.de; Geschäftsführer: Andreas R. Fischer Redaktion: Jürgen Bürkel v.i.S.d.P., Guntram Stadelmann, Alexander Buggisch Leitung Key Account Management Steffen Guschmann Leitung Strategisches Marketing: Heiko Fischer Produktion: Strattack GmbH
Bildnachweis: Alle Bildrechte liegen bei den jeweiligen Eigentümern Rechtshinweis: Dieses Whitepaper einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlages unzulässig und strafbar. Dies gilt insbesondere für die ganze oder teilweise Vervielfältigung, Bearbeitung, Übersetzung, Mikroverfilmung sowie die Einspeicherung oder Verarbeitung in elektronische Medien, elektronische Systeme oder elektronische
Netzwerke. Alle Angaben, trotz sorgfältiger redaktioneller Bearbeitung, ohne Gewähr. Fremdbeiträge geben nicht unbedingt die Meinung der Redaktion wieder. Wir weisen darauf hin, dass hier verwendete Soft- und Hardwarebezeich nungen und Markennamen der jeweiligen Firmen im Allgemeinen warenzeichen-, marken- oder patentrechtlichem Schutz unterliegen. © G+F Verlags- und Beratungs- GmbH