Der Notfallplan

Das Internet of Things ist hier das Schlagwort. Immer mehr Maschinen sind miteinander vernetzt und somit auch manipulierbar. Von Fehlfunktionen bis zum Totalausfall ist theoretisch alles möglich. Die einzige Option ist häufig ein Stop der Produktion.

2 Dinge sind von größter Relevanz. Erstens sollte gut dokumentiert sein, welche Maschine was mit wem und warum kommuniziert, da im schlimmsten Fall Systeme zurückgesetzt und dann neu angelernt werden müssen. Zweitens sollte der Kontakt zu Dienstleister gepflegt werden, die im Ernstfall die Reparatur der Anlagen schnell und kompetent übernehmen können.

Eine Kette ist immer so stark wie ihr schwächstes Glied! Wenn ein Gerät gehackt wurde und von außen manuell oder automatisiert gesteuert werden kann, dann sind schnell alle Daten in Gefahr, auf die dieses Gerät Zugriff hat. Zudem besteht die Gefahr, dass sich der Angreifer weiter im Netzwerk ausbreitet und peu a peu höhere Berechtigungen bis zum Vollzugriff erlangt.

Sichern Sie alle Systeme bestmöglich ab durch regelmäßige Updates, Virenscanner, Firewalls und eine Sensibilisierung der Mitarbeiter. Ist ein Gerät betroffen, dann trennen Sie dieses sofort vom Netzwerk und dem Internet um eine weitere Ausbreitung zu verhindern. Analysieren Sie die Art des Angriffes und kontrollieren Sie alle verbundenen Systeme. In der Regel haben Sie die Expertise nicht im Hause und brauchen hier wieder einen schnellen Kontakt zu einem externen Dienstleister.

Welche Software und Dienste in einem Unternehmen verwendet werden dürfen muss klar definiert sein! Deren Einsatz ist meistens alternativlos, aber will sorgfältig gewählt werden. Zum einen sollten keine potentiell unsicheren Dienste zum Einsatz kommen und zum anderen sollte es für jeden Zweck nur eine Lösung geben, um das Risiko zu minimieren. Es kann nicht sein, dass jeder Mitarbeiter den Cloud-Dienst seiner Wahl benutzt und zum testen regelmäßig Software zweifelhaften Ursprungs testet.

Für jede Abteilung sollte klar definiert sein, welche Software und welche Online-Dienste verwendet werden können. Bei Bedarf weiterer Software oder Dienste, sollte es einen Ansprechpartner geben, welcher die Risiken abwägen kann und die Verwendung freigibt.

Durch einen Zugriff auf das System können die Inhalte der Webseite nach belieben verändert werden und so könnte jedem Besucher ein Download mit Schadsoftware angeboten werden, Werbung geschaltet werden oder einfach die Webseite vom Netz genommen werden.

Bei vielen Webseiten, werden keine bzw. wenige Kundendaten verarbeitet und es besteht keine Gefahr für einen Verlust oder Manipulation von personenbezogenen Daten. Ganz anders sieht es bei Kunden-Portalen und Online-Shops aus. Hier sind schnell die personenbezogenen Daten von tausenden von Kunden und/oder Nutzern bedroht. Zudem kann durch Manipulation ein großer wirtschaftlicher Schaden auf mehrere Arten herbeigeführt werden.

Sichern Sie Ihre Webseite in regelmäßigen Abständen. Hierbei gilt je öfter sich die Datenbestände ändern z.B. durch Bestellungen, desto häufiger sollten Sie Backups machen. Für den Fall eines Angriffes auf Ihre Webseite haben Sie die Kontaktdaten Ihres Hosters (Dienstleister auf dessen Servern Ihre Webseite läuft) immer parat, damit Sie Ihre Webseite schnellstmöglich vom Netz nehmen können um einen größeren Schaden zu verhindern.

Je kleiner das Unternehmen, desto weniger ist erfahrungsgemäß die Sicherheit im Home-Office geregelt! So wird häufig am privaten PC gearbeitet, auf welchen ggf. die ganze Familie Zugriff hat. Ein Gerät mit vielen unterschiedlichen Nutzern und Anwendungszwecken ist automatisch auf viel mehr Ebenen angreifbar als ein dezidierter Firmenrechner.

Wenn Ihre Angestellten im Home-Office arbeiten, dann stellen Sie in der Regel die nötige Hardware zur Verfügung und schulen Ihre Mitarbeiter für den Umgang mit Firmendaten und vertraulichen Informationen im Home-Office.
Vorsicht: Auch die private Hardware könnte Schaden nehmen durch Sicherheitslücken der Firma. Wer haftet hier?

Der Mitarbeiter will immer am laufenden sein und schnell im Sinne der Firma reagieren können. Was sich nach dem Traum des Vorgesetzten anhört birgt aber Gefahren, wenn über private Geräte kommuniziert wird. Häufig wird hier das Mobiltelefon verwendet und das Mail Konto sowie der interne Messenger installiert und verbunden. Das private Mobiltelefon ist aber meistens nicht ausreichend geschützt und hat durch die primäre private Nutzung ein viel höheres Gefahrenpotenital.

2 Lösungsmöglichkeiten stehen hier im Raum. Erstens es wird ein Firmenhandy gestellt oder die Nutzung auf Privatgeräten sollte grundsätzlich untersagt werden. Zweitens wäre es möglich die Verwendung von privater Hardware und die Haftung für Schäden in einem Zusatz zum Arbeitsvertrag zu regeln.
Aber Vorsicht, auch das private Handy könnte Schaden nehmen z.B. durch Phishing Mails auf dem Firmenkonto. Wer haftet hier?