Wenn es um das Thema Netzwerksicherheit geht, ist eine der größten Sicherheitslücken immer noch der „Faktor Mensch“, insbesondere durch die private Internetnutzung am Arbeitsplatz. Neben privaten E-Mails wird die immer stärkere Verbreitung sozialer Netzwerke aktuell zu einer großen Herausforderung. Viren und andere Malware aus dem WWW suchen genau diese Schwachstellen. Angriffe nehmen täglich zu und Unternehmen jeder Branche und Größe müssen immer höhere Standards zur Abwehr umsetzen.
Von unseren Kunden werde ich häufig darauf angesprochen, wie man höchstmögliche Sicherheit in der IT-Infrastruktur realisiert und dabei gleichzeitig den Eingriff in die berechtigten Datenschutz-Bedürfnisse der Mitarbeiter minimiert. Gerne will ich hier auf die wichtigsten Faktoren aus meiner Sicht eingehen:
Prüfen Sie stichpunktartig die private Internetnutzung Ihrer Mitarbeiter und weisen Sie bei Bedarf unmissverständlich auf die latenten Gefahren hin. Eine erhöhte Brisanz bekommt die Thematik gerade dadurch, dass in jüngerer Zeit vermeintlich sichere (HTTPS- bzw. SSL-) Übertragungsprotokolle für Malware-Attacken genutzt werden. Die Verwendung dieser verschlüsselten Verbindungen nimmt stetig zu. Das Problem dabei: Diese Verbindungen waren bis jetzt oft wegen der Verschlüsselung von der Überprüfung ausgeschlossen. Doch mittlerweile sind einige Virenscanner in der Lage, auch diese so genannte „End-to-End“ Verbindungen aufzubrechen.
Jedoch erlangt der Arbeitgeber hierbei nicht nur Benachrichtigungen über gefundene Malware, sondern auch unter Umständen Kenntnis von den eBay-Verkäufen der Mitarbeiter oder hat ggf. sogar Zugriff auf das HTTPS-verschlüsselte Online-Banking und damit Einblick in die allgemeine Vermögens-/Verschuldungssituation.
Um dieses Problem zu vermeiden, haben wir unser Anti-Virus-System AV Proxy (für UCS im App-Store verfügbar) so entwickelt, dass man Ausnahmen vom SSL-Scan definieren kann, wodurch z.B. seriöse Banking-Seiten von der Überprüfung ausgeschlossen bleiben.
Sensibilisieren Sie Ihre Mitarbeiter regelmäßig für die Themen Netzwerksicherheit und den Schutz der vertraulichen Kundendaten. Sowohl in Einzelgesprächen als auch in verpflichtenden Schulungen. Das Netzwerk ist nur so sicher wie sein schwächstes Glied – egal ob dies der Geschäftsführer oder die Aushilfskraft ist.
Die Überwachung der privaten Internetnutzung erfordert eindeutige betriebliche Regelungen. Alle Mitarbeiter müssen in den Betriebsvereinbarungen darauf hingewiesen werden, ob und in welchem Umfang die private Internetnutzung erlaubt ist. Klären Sie die Kollegen unbedingt darüber auf, dass stichprobenartige Überprüfungen im betrieblich notwendigen Rahmen stattfinden und wie umfangreich diese ausfallen (eine Voll-Überwachung ist ohnehin nur in begründeten Einzelfällen gestattet). Auf jeden Fall erfordern diese Themen ein hohes Maß an Fingerspitzengefühl und man sollte stets in enger Abstimmung mit den Arbeitnehmer-Vertretern agieren.- Setzen Sie bei Ihren Systemen auf Open Source Lösungen. Diese sind tendenziell weniger anfällig für Schadsoftware als proprietäre Systeme. Besonders im Server-Management sind Open Source Plattformen häufig die sicherere Alternative.
Prüfen Sie stichpunktartig die private Internetnutzung Ihrer Mitarbeiter und weisen Sie bei Bedarf unmissverständlich auf die latenten Gefahren hin. Eine erhöhte Brisanz bekommt die Thematik gerade dadurch, dass in jüngerer Zeit vermeintlich sichere (HTTPS- bzw. SSL-) Übertragungsprotokolle für Malware-Attacken genutzt werden. Die Verwendung dieser verschlüsselten Verbindungen nimmt stetig zu. Das Problem dabei: Diese Verbindungen waren bis jetzt oft wegen der Verschlüsselung von der Überprüfung ausgeschlossen. Doch mittlerweile sind einige Virenscanner in der Lage, auch diese so genannte „End-to-End“ Verbindungen aufzubrechen.
Die Überwachung der privaten Internetnutzung erfordert eindeutige betriebliche Regelungen. Alle Mitarbeiter müssen in den Betriebsvereinbarungen darauf hingewiesen werden, ob und in welchem Umfang die private Internetnutzung erlaubt ist. Klären Sie die Kollegen unbedingt darüber auf, dass stichprobenartige Überprüfungen im betrieblich notwendigen Rahmen stattfinden und wie umfangreich diese ausfallen (eine Voll-Überwachung ist ohnehin nur in begründeten Einzelfällen gestattet). Auf jeden Fall erfordern diese Themen ein hohes Maß an Fingerspitzengefühl und man sollte stets in enger Abstimmung mit den Arbeitnehmer-Vertretern agieren.In der heutigen Zeit ist es m.E. realitätsfern, die private Internetnutzung am Arbeitsplatz komplett verbieten zu wollen. Das Internet ist omnipräsenter Bestandteil unseres Lebens und so kann selbst ein völliges Verbot die Nutzung privater Seiten in der Realität nicht verhindern. Umso wichtiger ist es, eindeutige betriebliche Regelungen zu haben und auf die Gefahren angemessen zu reagieren.
