Die folgenden 3 Szenarien veranschaulichen, welche Auswirkungen mangelnde Datensicherheit für Unternehmen haben kann.
2.1 Nutzung privater mobiler Endgeräte/Arbeiten mit Cloud Computing
In einem Dachdeckerbetrieb werden Smartphones und Tablets auch im Arbeitskontext eingesetzt, und zwar zur Baustellensteuerung sowie zur Zeiterfassung. Die mobil erfassten Daten, z. B. zu Projektfortschritt und verwendetem Material, landen in Echtzeit auf dem Server des Betriebs. Die Mitarbeiter können somit Informationen zum Auftrag, aktuelle Änderungen und sämtliche Dokumentationen abrufen und auch selbst Änderungen vornehmen – von der Baustelle aus. Ermöglicht wird das durch eine spezielle App, die sich die Beschäftigten auf ihr mobiles Endgerät laden. Das spart Zeit, gibt Informationssicherheit und schafft effizientere Abläufe – für den Betrieb brachte diese Technologie ein großes Plus an Produktivität.
Die dafür im Dachdeckerbetrieb genutzten Smartphones und Tablets sind die privaten Endgeräte der Beschäftigten (Stichwort "Bring your own Device" (BYOD)). Dies war einfacher und schneller umzusetzen, als die 20 Beschäftigten mit Smartphones bzw. Tablets auszustatten. Auf den privaten Geräten unterschiedlicher Hersteller waren verschiedene Betriebssysteme installiert und es kamen ganz unterschiedliche Sicherheitsstandards zur Anwendung. Vor Ort auf den Baustellen riefen die Beschäftigten dann Informationen über die Webschnittstelle des Betriebs ab und hatten völlig freien Zugriff auf den Betriebsserver, ohne dass sich die Nutzer in der gesicherten IT-Umgebung des Betriebs befunden haben.
Eine Sicherheitslücke auf einer Systemkomponente, wie einem Smartphone, kann beispielsweise in stark vernetzten Infrastrukturen gravierende Auswirkungen auf die Sicherheit des Gesamtsystems haben. Durch die Vernetzung der Systeme und die Übertragung von Daten können Schäden über jedes smarte Arbeitsmittel, das in einem Unternehmen genutzt wird, und auf die damit vernetzten Systeme weiterverbreitet werden. Auch sind diese privaten Geräte Cyberangriffen ausgesetzt, denn sie sind i. Allg. an das Internet angebunden. So können Funktionen und Einstellungen geändert werden, wenn keine ausreichenden Schutzmaßnahmen getroffen wurden. Folglich sind stärkere Sicherheitsvorkehrungen erforderlich, um sensible Firmendaten zu schützen.
Dieses Szenario zeigt, dass
- viele Unternehmen Mobilgeräte im Betriebsalltag noch immer nicht als vollwertige Computer sehen. Auf Smartphones sind aber nicht nur viele sensible Daten, wie Geschäftskontakte, vertrauliche E-Mails, sondern auch Zugänge zu betrieblich genutzten Clouds oder der Webschnittstelle des Betriebs gespeichert;
- die in vielen Betrieben gelebte Praxis, smarte Geräte und Arbeitsmittel sowie IT-Systeme mit ganz unterschiedlichen Sicherheitsanforderungen miteinander zu verbinden, Probleme mit sich bringen kann, z. B. bei unsachgemäßem Nutzerverhalten eine Infektion durch Cyberkriminelle;
- Betriebe für ihre IT-Landschaft Kriterien festlegen können, wie Passworteigenschaften, Zeiträume für Passwortwechsel, Zugriffsregelungen oder "Löschrechte" auf bestimmte Daten. Bei privaten Gegenständen ist das kritischer und es müssen Regeln für die Nutzung von Smartphones mit betrieblichen Daten definiert werden (i. Allg. ist von der betrieblichen Nutzung mit privaten Endgeräten abzuraten). In jedem Fall, auch bei unternehmenseigenen Geräten, sollten unternehmensinterne Sicherheitsstandards festgelegt und auf allen Geräten sichergestellt werden;
- Sicherheits-Updates an alle Geräte gelangen müssen. Die 4.0-Technologien entwickeln sich aufgrund von Updates und selbstlernenden Systemen kontinuierlich weiter. Das ändert damit auch den Stand der Informationssicherheit kontinuierlich;
- die Betriebssysteme einer Prüfung unterzogen werden sollten, denn auch die beste Sicherheitslösung ist nicht viel wert, wenn ein Betriebssystem veraltet ist;
- die genutzten Dienstprogramme (bzw. Apps) automatisiert und vom Nutzer unentdeckt auf Datenbanken des Smartphones oder Tablets zugreifen könnten. Damit besteht die Gefahr, dass sensible (Betriebs-)Daten ungewollt das Unternehmen verlassen, wenn z. B. das Smartphone abhandenkommt. Dies kann auch Datenschutzprobleme bedeuten, wenn man an Auftragsdaten oder Informationen zu Kunden denkt. In diesem Fall gibt es auch Probleme mit dem Datenschutz und man macht sich schnell strafbar;
- es der Sifa obliegt, die Risiken durch verschiedenste Gefährdungs- und Belastungsfaktoren zu beurteilen (und zu dokumentieren) – auch Smartphones sind Arbeitsmittel. Zur Beurteilung von Risiken ist es erforderlich, dass sich die Sifa mit Folgen des Technologieeinsatzes auseinandersetzt, Kriterien für einen in jeder Hinsicht sicheren Einsatz entwickelt und den Unternehmer diesbezüglich berät.
2.2 Arbeiten mit Cloud-Computing
Dieses Szenario zeigt, dass auch die Nutzung von Cloud-Diensten für die betriebliche Nutzung das Feld der Datensicherheit erweitert und verändert. In einem Architekturbüro wurden mehrere Cloud-Services unterschiedlicher Anbieter genutzt. Zum einen wurden Softwareprodukte (Stichwort "Software as a Service (...