Bei ihrer eigenen Sicherheit waren Führungsgremien bislang oft weniger kritisch. Doch nun findet zunehmend ein Rollenwandel in der Unternehmensleitung statt.
Dieser Artikel stellt einen Bewertungsrahmen für Führungskräfte vor und setzt dabei drei Schwerpunkte: den Speicherort der Daten, die Stärke des Datenschutzsystems und die Kontrolle über den Zugang zu diesem System.
Das Engagement der Unternehmensleitungen für die Internet-Sicherheit kommt nicht von ungefähr.
Regierungen, Behörden, Wirtschaftsprüfungsgesellschaften und Wirtschaftsverbände erhöhen ihre Erwartungen. In Großbritannien zum Beispiel, wies das Cabinet Office wiederholt darauf hin, dass in den Unternehmen das Bewusstsein für diese Risiken geschärft und das Risikomanagement verbessert werden muss[1]. Zwar treffen manche der entsprechenden Bestimmungen auf Unternehmen im Privatbesitz und gemeinnützige Gesellschaften nicht zu, doch fordern Inhaber, Geschäftspartner und Spender die Einhaltung strenger Standards.
Geschäftsleitungen, Vorstände und Aufsichtsräte sind zwar für die Internet-Sicherheit verantwortlich, übersehen aber häufig ein kritisches Glied in der Sicherheitskette: Nämlich ihre eigene Rolle als Verwahrer der Unternehmensinformationen.
Sie werden zum Beispiel ständig mit sensiblen Finanz- und Vertriebsdaten, vertraulichen Strategieplänen oder Plänen zur Vorstandsvergütung betraut, speichern und kommunizieren sie intern. Ein unberechtigter Zugriff kann verheerende Folgen haben.
Sicherheitsbewusstsein täglich vorleben
Das Problem ist: Aufgrund der Position der Führungsgremien „oberhalb“ der Unternehmensstruktur sind sie häufig nicht mit in die Unternehmensprozesse einbezogen. Wenn sich also ein CIO mit der Internet-Sicherheit in seinem Unternehmen befasst, lässt er die Sicherheit der Vorstandsaktivitäten häufig außen vor, da er sie verständlicherweise nicht für seine Angelegenheit hält, sondern für die des Sekretariats oder der Rechtsabteilung.
Tatsache ist auch, dass bei der Internet-Sicherheit immer wieder Kompromisse zwischen Komfort und Effektivität gefordert sind. Mitgliedern von Führungsgremien will man wegen ihrer gehobenen Position oft weniger Komforteinbußen zumuten. Die Folge: Sie achten beim Zugriff, bei der Speicherung oder der Weiterleitung von Informationen häufig weit weniger auf Sicherheit als der Rest des Unternehmens – etwa indem sie ausgedruckte Sitzungsunterlagen per Post oder PDF-Dateien per E-Mail versenden.
Ein weiterer Kompromiss betrifft die Kennwörter. Anstatt sichere Kennwörter vorzuschreiben, die keine Realwörter enthalten, sondern aus verschiedenen Zeichenarten zusammengesetzt sind, werden einfache Kennwörter wie Vornamen von Familienmitgliedern gestattet. Dies ist oft keine systematische Praxis, sondern das Ergebnis von Ad-hoc-Entscheidungen, aber aus Gründen persönlicher Bequemlichkeit nur schwer zu ändern.
Angesichts der heutigen Bedrohungslage, beschränkt sich die Aufgabe der Unternehmensleitung nicht allein auf die Kontrolle der Internet-Sicherheit. Wichtig ist, dass sie bei der Sicherheit beispielgebend vorangeht.
Ein Rahmen für die Bewertung der Sicherheit in Führungsgremien
Führungskräfte, die Orientierungshilfen für die Bewertung der Internet-Sicherheit in ihrem Unternehmen suchen, verlieren sich häufig in einem Gewirr aus unverständlichem Fachjargon. Die folgenden drei grundlegenden Fragen verschaffen hier mehr Klarheit:
- Wie werden kritische Unternehmensdaten gespeichert?
- Wie stark ist das Datenschutzsystem?
- Wer kontrolliert den Zugang?
Diese Fragen sind hilfreich bei der Bewertung der aktuellen Praxis in den Führungsgremien hinsichtlich Austausch und Kommunikation von Informationen sowie bei der Evaluierung möglicher zukünftiger Lösungen.
Wie werden kritische Unternehmensdaten gespeichert?
Bei jeder Sicherheitsanalyse ist zunächst zu prüfen, wer die Daten kontrolliert. Keine Kontrolle darüber zu haben, wo sich die Informationen befinden und wohin sie gelangen, bedeutet: Die Lösung ist in hohem Maße unsicher.
Deshalb ist das Versenden von PDF-Dateien per E-Mail keine sichere Lösung. Dateien können versehentlich an falsche Adressaten gelangen oder werden in privaten E-Mail-Konten mit minimaler Sicherheit gespeichert.
Gleiches gilt für öffentliche Dateiaustauschsysteme, bei denen Dateien „in der Cloud“ gespeichert werden. Das heißt in der Praxis: Ihre Dateien können sich auf einem beliebigen Server im Cloud-Netzwerk befinden. Als Anwender können Sie nie wissen, wo genau – deshalb auch der Begriff „Cloud“, also „Wolke“. Ein Grund für die Popularität von Cloud-Datenspeichern ist die allgemeine Vorstellung, solche Systeme seien relativ sicher. Doch bekannte Fälle von erfolgreichem Eindringen wie der Diebstahl von Kennwörtern und Fotos von Prominentenzeigen, wie falsch diese Annahme ist[2].
Gehostete Board-Portale erscheinen zwar Cloud-ähnlich – und werden oft fälschlich als „Cloud-basierter Datenspeicher“ bezeichnet – aber es gibt entscheidende Unterschiede. Zum einen steuern sie konsequent, wo Daten im Host-System gespeichert werden. Außerdem halten sie die Informationen der gehosteten Unternehmen streng voneinander getrennt. Das Wissen darum, wo Daten gespeichert sind, bietet in Verbindung mit Maßnahmen zum Schutz der Daten mehr Kontrolle darüber, wer auf die Daten zugreifen kann, und damit mehr Sicherheit.
Wie stark ist das Datenschutzsystem?
Ebenso wichtig wie eine strenge Kontrolle über den Verbleib der Daten ist es, dass nur berechtigte Nutzer Zugang zu ihnen erhalten. Erreicht wird dies durch Verschlüsselung, wie etwa die Umcodierung in eine Abfolge aus Nullen und Einsen, die nur Inhaber des richtigen Schlüssels wieder in sinnvolle Daten umwandeln können.
Gedruckte Unternehmensunterlagen sind natürlich überhaupt nicht verschlüsselt; sie können von jedem gelesen werden, dem sie in die Hände fallen. Und während PDF-Dateien, die per E-Mail versandt oder in der Cloud gespeichert werden, zwar verschlüsselt und mit Kennwörtern geschützt werden können, stehen die Versender und Empfänger in der Pflicht, Kennwortprotokolle zu verwalten. Außerdem sind so „geschützte“ Unterlagen anfällig für Brute-Force-Angriffe durch entsprechende, leicht zugängliche Software.
Bessere Board Portale verwenden in der Regel 256-Bit-Verschlüsselung – ein Schlüssel aus 256 Nullen und Einsen. Da die Kombinationsmöglichkeiten praktisch unendlich sind, würden selbst die entschlossensten Hacker mit den neuesten Technologien Ewigkeiten brauchen, um den Code zu knacken.
Wer kontrolliert die Schlüssel?
Egal wie stark ein Verschlüsselungssystem ist – wer den Schlüssel hat, gelangt trotzdem an die Informationen. So wird jeder, der Zugang zum Kennwort für eine kennwortgeschützte PDF-Datei hat, praktisch zu deren Besitzer. Gestohlene Kennwörter sind quasi gestohlene Dokumente.
Bei einem gehosteten Board-Portal gestattet das richtige Kennwort nur den Zugriff auf das Portal selbst. Die Kontrolle über die Verschlüsselungscodes hat das System; wer sich beim Portal anmeldet, sieht nur, was er sehen soll. Ein starkes Portal verliert nie die Kontrolle über die Dokumente.
Die Auswirkungen auf die Sicherheit sind bedeutend. Wenn ein Kennwort gestohlen wird, kann der Administrator einfach für dieses Kennwort den Zugang sperren. Und sobald sensible Dokumente nicht mehr benötigt werden, kann er ein „virtuelles Löschen“ durchführen – diese Dokumente sind dann für Kennwortdiebe nicht mehr zugänglich.
Neben der Zugangsbeschränkung per Kennwort kann der Portaladministrator den Zugriff auf bestimmte Unternehmensunterlagen nach Kriterien wie Zugehörigkeit zu einem Vorstandsausschuss einschränken. Sie sind dann zum Beispiel nur für Mitglieder des Prüfungs- oder des Vergütungsausschusses sichtbar. Daneben kann der Administrator auch bestimmen, von welchem Endgerät aus ein Nutzer auf das System zugreifen darf.
[1] https://www.gov.uk/government/publications/national-cyber-security-strategy-2-years-on
[2] Wall Street Journal, “Apple Denies iCloud Breach: Tech Giant Says Celebrity Accounts Compromised by ‘Very Targeted Attack,’” September 2, 2014. http://online.wsj.com/articles/apple-celebrity-accounts-compromised-by-very-targeted-attack-1409683803