Management-Fokus: IT-Sicherheit
Wenn wir vom Management im Unternehmen der Zukunft sprechen, dann liegt der Fokus meist auf den neuen und geänderten Ansprüchen an Führungskräfte, die durch neue Arbeitsmodelle entstehen: ortsunabhängiges und mobiles Arbeiten, virtuelle Teams und die Anforderungen an Team- und Mitarbeiterführung von entfernt sitzenden Mitarbeitern zum Beispiel.
Themen, die dabei eher vernachlässigt werden, weil sie weniger aus der Managementlehre als der Technik kommen, sind die Sicherheit von IT-Systemen und die Vertraulichkeit von Unternehmensinformationen. Auch wenn heute schon – gerade in großen Unternehmen – hierfür einiges getan wird (unter anderem regelmäßige Schulungen, technische Maßnahmen oder sogenannte Penetrationtests), so bin ich davon überzeugt, dass dieses Thema kurzfristig stärker in den Fokus von Führungskräften rücken muss und es nicht bei der IT-Abteilung alleine bleiben kann.
Das beginnt schon bei der heute existierenden und in Zukunft immer mehr zunehmenden virtuellen Zusammenarbeit an (im wesentlichen) zwei Stellen:
- Beim Dokumentenaustausch zwischen Wissensarbeitern, deren Fokus oft auf der Erstellung von Konzepten, Präsentationen und Papieren liegt, ist es natürlich, dass die Arbeitsergebnisse zusammen erstellt oder zumindest gegenseitig qualitätsgesichert und zu diesem Zwecke von mehreren Personen bearbeitet werden. Durch die virtuelle Zusammenarbeit erfolgt also zur Bearbeitung in der Regel auch ein Austausch zwischen verschiedenen Lokationen der Mitarbeiter. Erst langsam setzt sich dabei die Ansicht durch, dass eine Weiterentwicklung von Dokumenten durch (wenn auch teilweise zumindest verschlüsselte) Mailketten schwierig und fehleranfällig ist.
Eine zentrale Datenablage ist hier der einfachste Weg, damit der Überblick über Dokumentversionen und den aktuellen Stand bei allen Beteiligten nicht verloren geht. Der Kern ist dabei die „eine Stelle“, an der die Dokumente in der aktuellen Version liegen. Das kann über einen VPN-Tunnel auf dem Unternehmens-eigenen Server sichergestellt werden oder auch „in der Cloud“.
In der Cloud? Das ist in der Tat heute zunehmend der Fall – nicht zuletzt, weil es so schön einfach ist und über Rechner verschiedener Betriebssystem oder mobile Geräte wie Smartphones oder Laptops gleichermaßen geht. Wichtig ist hierbei aber, dass nicht beliebige Cloudanbieter für Unternehmensdokumente verwendet werden, wie sie die Mitarbeiter von ihrer privaten Nutzung kennen (und der Einfachheit wegen schnell geneigt sind zu verwenden). Der Fokus einer Führungskraft muss sein, dass Regeln für die virtuelle Zusammenarbeit nicht nur Erreichbarkeit und Kommunikationsregeln, sondern auch technische Aspekte wie zum sicheren Dokumentenaustausch enthalten und diese befolgt werden. Das wird in der Regel eine Einschränkung auf spezifische sichere Anbieter wie IDGard oder Intralinks sein, das kann aber auch der Einsatz einer Verschlüsselungssoftware wie zum Beispiel Boxcryptor sein, die auf eine Ende-zu-Ende-Verschlüsselung setzt, die bei verschiedenen Cloudanbietern funktioniert, sodass in der Cloud selber nur verschlüsselte Daten liegen. Dabei ist es auch hier wieder extrem wichtig, dass die Führungskraft als Vorbild agiert und nicht selber der Bequemlichkeit wegen die Regeln ausser acht lässt.
IT-Sicherheit - Virtuelle Zusammenarbeit bedingt auch Collaboration-Tools, über die Webmeetings, Webinare beziehungsweise generell synchroner Austausch erfolgen. Auch hier sollte eine genaue Regelung im Unternehmen erarbeitet werden, welche Tools für welche (vertraulichen) Themen verwendet werden dürfen und welche Regeln beachtet werden müssen. Aus privater Erfahrung liegt da oft die Nutzung von Skype oder WhatsApp nahe, aber würden Sie als Führungskraft ruhig schlafen, wenn Sie wüssten, dass Ihre Mitarbeiter darüber vertrauliche Gespräche führen? Neben der Vorgabe gesicherter Tools gibt es Unternehmen, in denen zusätzliche Regeln aufgestellt werden, um der Sicherheit Genüge zu tun. So dürfen zum Beispiel in einigen Unternehmen bei Angebotsdurchsprachen und -freigaben in den Webmeetings keine Zahlen genannt werden. Die Daten werden dann meist vorab über verschlüsselte Mails versendet, um so potenziellen, unerwünschten Zuhörern die wichtigsten Daten (wie eben Angebotspreise) vorzuenthalten. Auch für die Verwendung selber sind mitunter toolspezifische Regeln zu beachten: in der mittlerweile von Microsoft abgekündigten Software Livemeeting lag beispielsweise eine Ende-zu-Ende-Verschlüsselung vor, solange alle Mitarbeiter über einen Computer eingewählt sind (da auf diesem eine Ver- und Entschlüsselung der Kommunikation erfolgt). Es ist auch möglich an diesen Meetings per Telefon teilzunehmen – weil aber die Sprachleitung auf dem Telefon keine Ver- und Entschlüsselungssoftware enthält, ergibt sich mit dem ersten telefonischen Teilnehmer eine Lücke in der Ende-zu-Ende-Verschlüsselung, derer man sich bewusst sein sollte.
Unter Industrie 4.0 versteht man (an dieser Stelle vereinfacht gesagt) die Digitalisierung der industriellen Fertigung und Prozesse. Hier entstehen nun ganz neue mögliche Fehlerquellen in den Firmen. Während heute IT-Sicherheit in den Büros und Abteilungen, in denen Wissensarbeiter an Computern arbeiten, zumindest schon bekannt und ein Thema sein sollte, so entstehen durch die Vernetzung der bislang autark in der Produktion genutzten IT-Systeme neue Herausforderungen: Einerseits sind Maschinen in dieser Umgebung durch lange Lebenszyklen oft nicht mit der neuesten (IT-) Technologie und damit auch nicht den neuesten Schutzprogrammen wie Virenscannern ausgestattet. Andererseits lag bislang insgesamt der Fokus weniger auf IT-Sicherheitsmaßnahmen: Mitarbeiter sind oft nicht geschult oder auch nur sensibilisiert in Bezug auf Sicherheit und Vertraulichkeit von Daten.
„Er verbreitete sich wohl über USB-Sticks, welche an Notebooks zur Programmierung und Wartung der Steuerung von Simatic-S7-Anlagen angeschlossen wurden“ (Zitat aus „Industrie 4.0 – aber sicher!“ Business Magazin). So wird der wahrscheinliche Grund beschrieben, warum sich der Computerwurm Stuxnet auf 30.000 Computern im Iran ausbreiten konnte. Die Vorsichtsmaßnahmen und Trainings zum Beispiel für die Verwendung von USB-Sticks, Virenscanner und ähnliches sind wahrscheinlich bislang noch nicht so sehr im Fokus der IT-Verantwortlichen in der Produktion. Das aber muss sich ändern, wenn „Bürosysteme“ und „Produktionssysteme“ zusammenwachsen: ohne sinnvolle Vorsichtsmaßnahmen wie z.B. eine Segmentierung der Netze, bieten die schwächer geschützten Systeme eine leichtere Chance für Eindringlinge auch die andere Systeme zu attackieren, wenn erst sie sich einmal im Unternehmensnetz befinden.
Zusammenfassung
IT-Sicherheit ist heutzutage kein unbekanntes Thema und wird bei Zukunftsvisionen oft als eines der IT-Kernthemen bezeichnet. Die Sicherheit und Vertraulichkeit beim Informationsaustausch von virtuell zusammenarbeitenden Mitarbeitern über gemeinsame Dokumente wie auch Collaborationstools für zum Beispiel Webmeetings erfordern heute schon den Fokus von Führungskräften. Sie müssen dazu Regeln aufzustellen und mit gutem Beispiel vorangehen. Dies wird insbesondere im Rahmen von Industrie 4.0 durch das Zusammenwachen von so unterschiedlichen Systemwelten wie „Bürosystemen“, bei denen heute IT-Sicherheit meist schon ein Thema ist, und „Produktionssystemen“, die im Rahmen der Digitalisierung vernetzt und auch mit Bürosoftware verbunden werden, verstärkt. Der Einfall von Eindringlingen in den einen Teil der Systeme, zum Beispiel der Bürosysteme, ermöglicht sonst einen schnellen Übergriff auch auf andere zukünftig ebenfalls vernetzte Unternehmensbereiche wie zum Beispiel die Produktionssysteme.
IT-Sicherheit ist nicht mehr nur ein technisches Thema – Führungskräfte sollten sich im Rahmen ihrer Verantwortung auch auf dieses Thema fokussieren und können neben technischen Maßnahmen (zum Beispiel Entkopplung von Teilnetzen) auch mit Regeln und Schulungen auf die Mitarbeiter einwirken und müssen sich in ihrer Rolle als Vorbild dessen bewusst sein.