Die E-Mail wird losgeschickt, der USB-Stick verlässt das Haus - und schon sind die Daten nicht mehr sicher, bei allem Security-Aufwand. Wer heute in einem Unternehmen die IT-Sicherheit verantwortet, dessen Aufgabe wird immer komplexer, Stichwort Multi-Cloud-Umgebungen. Davon handelt eine Webinfosession der Computerwoche.
Leif Oberste-Berghaus, Head of Global Product Management bei Freudenberg IT, und Cisco-CIO Klaus Lenssen führen aus, wie man sensible Informationen unabhängig von Ablageort und Nutzungsverhalten schützt. Detlef Korus von der Computerwoche moderiert.
Zunächst nimmt Lenssen eine Standortbestimmung vor: "Wir befinden uns auf einer Reise, in der IT bewegt sich alles schnell", sagt er. Um mit einem Seufzer anzufügen: "Wenn man sich meine grauen Haare anschaut, weiß man, was sich alles tut in der IT…" Angesichts dieser Entwicklung können IT-Entscheider keine Trutzberg mehr aus ihrem Unternehmen machen. Denn alles verlagert sich nach draußen: Mitarbeiter sind heute überall unterwegs und verlangen, mobil auf Daten zugreifen zu können. Cisco hat in einer Studie erhoben, wie Unternehmen technologisch aufrüsten: "Im Schnitt zählt ein großes deutsches Unternehmen 50 bis 60 Security-Tools", berichtet Lenssen.
Oberste-Berghaus kann das mit der Wagenburg-Mentalität bestätigen. Er hat auch eine Erklärung: "Viele Entscheider haben das so gelernt." Doch die Unternehmen stecken heute in einem Dilemma: auf der einen Seite wollen sie sich als attraktiven Arbeitgeber präsentieren, der mobiles Arbeiten selbstverständlich zulässt. Auf der anderen Seite sehen sie sich wachsender Bedrohung ausgesetzt.
Daher ist es so wichtig, die Mitarbeiter mit einzubinden und zum Teil des Prozesses werden zu lassen, ergänzt Lenssen. Bei Cisco achtet man nicht nur darauf, Policys allgemeinverständlich zu formulieren, das Unternehmen hat auch ein "Security Ninja Programm" aufgesetzt. "Da kann man sich ,Gürtel' erarbeiten", berichtet er, "viele Mitarbeiter nehmen daran teil."
Rund zwei von drei Mitarbeitern nutzen Public File-Sharing-Plattformen
Wie stark Datenschutz vom menschlichen Verhalten abhängt, zeigen zum Beispiel die vielen Laptops, die jeden Tag im Taxi liegenbleiben. Oder die Tatsache, dass rund zwei von drei Mitarbeitern Public File-Sharing-Plattformen nutzen. Aus Bequemlichkeit, oder, weil es schneller geht.
Fazit der Experten: Traditionelle Lösungsansätze wie die E-Mail-Verschlüsselung und das Vermeiden von Private Clouds bewirken geringe Anwenderakzeptanz - und hohe Betriebskosten. Effektiv ist, bei der ein Architektur anzusetzen. "Dahinter steht der Gedanke: was muss ich schützen, wogegen muss ich mich schützen?", erklärt Oberste-Berghaus. Natürlich müsse man das Netzwerk sichern. Aber möglicherweise müssen "wirklich nur diese Informationen geschützt werden und nicht alles drum herum". Die Frage laute immer: An welchen Stellen ist welche Sicherheit nötig?
Lenssen fügt an, dass ein Architekturansatz außerdem hilft, die Komplexität aus dem Betrieb herauszunehmen. Er rät, spezialisierte Dienstleister ins Boot zu holen. Dabei sollten Anwender vom Dienstleister durchaus Transparenz einfordern. Schließlich kreisen Datenschutz und IT-Sicherheit immer um Eines: Vertrauen.