Gestohlene Kontakte, geknackte Passwörter und lahmgelegte Server gehören inzwischen zum digitalen Alltag. Sicherheitslücken gibt es dabei aber nicht nur im technischen Bereich: Ganz entscheidende Faktoren im IT-System sind das Sicherheitsbewusstsein und das Verhalten der Mitarbeiter. Die meisten Cyberangriffe werden mittlerweile nicht durch klassische Hacker, sondern durch die eigenen Angestellten verursacht - in der Regel gar nicht vorsätzlich, sondern aus reiner Unwissenheit heraus.
Beim Sicherheitskonzept häufig vergessen: Smartphones und Tablets
Verstärkt werden die Probleme durch mobile Geräte. Viele Unternehmen der Wohnungswirtschaft nutzen inzwischen Tablets und Smartphones. Doch schnell bleiben die kleinen Helfer mal bei einer Wohnungsabnahme liegen oder sie fallen aus der Tasche des Mitarbeiters - der Datenklau ist ohne modernes Sicherheitskonzept dann nur noch einen Wisch entfernt. Die fortschreitende Digitalisierung erfordert deshalb weitreichendere Konzepte zur IT-Sicherheit als dies noch vor einigen Jahren nötig war, als sensible Daten lediglich auf stationären Computern gespeichert waren. Doch genau dies ist keinesfalls Standard: Während Wohnungsunternehmen auf Büro-Arbeitsplatzrechnern in der Regel zumindest eine minimale Basis an Sicherheitstools wie Firewall und Antivirussoftware installiert haben, fehlt dieser Mindestschutz auf vielen Mobilgeräten – von einer mehrschichtigen Sicherheitsstrategie und einem definierten Prozess ganz zu schweigen.
Kritisch kann es zudem werden, wenn Mitarbeiter ihr privates Gerät für dienstliche Zwecke nutzen und sensible und vertrauliche Unternehmensdaten unverschlüsselt auf ihrem Handy bearbeiten. Dann haben Hacker leichtes Spiel. Wichtig ist es daher, von vornherein dafür zu sorgen, dass unautorisierte Personen nicht auf kritische Daten zugreifen können. Dafür gibt es beispielsweise Sperrtechniken oder Software, die dafür sorgt, dass Daten bei nicht-befugtem Zugriff automatisch gelöscht werden.
Enorme Schäden durch verloren gegangene Daten
Zwar wird in der Wohnungswirtschaft nicht mit Staatsgeheimnissen hantiert, personenbezogene Daten aber – ob nun von Mietern oder Wohnungsinteressenten, von Handwerkern oder Zulieferern – werden in Massen erhoben und digital verarbeitet. Geraten die Informationen in die falschen Hände, kann dies weitreichende Folgen für das betroffene Unternehmen haben. Neben den Schäden im eigenen System kann ein Angriff aufs IT-System auch bei Wohnungsunternehmen zu Haftpflichtschäden führen oder Datenschutzverfahren nach sich ziehen - ganz zu schweigen vom enormen Reputationsschaden und Vertrauensverlust.
Insgesamt sind viele Unternehmen in der Wohnungswirtschaft noch nicht breit genug aufgestellt, wenn es um IT-Sicherheit geht. Sie sehen die notwendigen Investitionen in die Datensicherheit als Bürde oder gar als unangenehme Pflicht. In Wirklichkeit bietet dieser Invest jedoch neben der Modernisierung der IT-Landschaft die Chance, neue Wege in die Digitalisierung zu gehen, Mitarbeitern andere Aufgaben und mehr Verantwortungen zu geben und bei den Mietern Wohneigentümern Vertrauen zu erzeugen.
Das Sicherheitsdreieck lautet Mensch-Technik-Prozesse
Eine effiziente IT-Sicherheitsstrategie von Wohnungsunternehmen muss dabei drei Aspekte gleichermaßen berücksichtigen: Mensch, Technik und Prozesse bilden ein Sicherheitsdreieck. Das größte IT-Risiko ist tatsächlich der Mensch - da sind sich inzwischen alle Experten einig. Um die Angestellten für das Thema zu sensibilisieren, muss das Unternehmen sie aus- und fortbilden und über alle sicherheitsrelevanten Fragen aufklären. Und zwar nicht nur einmal: Allein die sprunghafte Technologieentwicklung zwingt zum ständigen Nachjustieren. Denn nicht nur die technischen Systeme entwickeln sich weiter, sondern auch Angriffe und Bedrohungen wechseln und es gibt immer neue rechtliche Vorgaben. IT-Sicherheit ist eine Daueraufgabe, die daher auch direkt im Verantwortungsbereich der Geschäftsführung angesiedelt sein sollte. Nötig ist neben einem oder mehreren IT-Sicherheitsexperten zudem ein hierfür bereit gestelltes und ausreichendes Budget, das die notwendige Konstanz und Dauerhaftigkeit finanziell absichert.
Der Server im eigenen Haus ist nicht mehr die sicherste Lösung
Auf dem Sektor Technik müssen die Unternehmen vor allem für eine stabile, ausfallsichere Infrastruktur sorgen. Das erfordert Investitionen in Hardware, Software und Services. Es erfordert aber auch Entscheidungen darüber, ob die Systemlandschaft im eigenen Unternehmen oder in einem externen Rechenzentrum etwa als Cloud-Dienst betrieben werden soll. Immer noch glauben viele Firmen, die IT im eigenen Haus sei die wirtschaftlichste und sicherste Lösung. Das ist längst nicht mehr der Fall. Moderne Rechenzentren bieten einen Sicherheitsstandard, der im eigenen Haus nicht oder nur mit sehr großem Aufwand realisiert werden kann. Außerdem sind Geschäftsführer oder IT-Administrator mittlerweile kaum mehr in der Lage, die weitreichenden und komplexen Maßnahmen sowie deren Auswirkungen zu überblicken. Bei externen Angeboten ist es jedoch sinnvoll, auf webbasierte Lösungen zu setzen. Webbasierte ERP-Systeme entwickeln sich beispielsweise gerade zum Standard. Da empfiehlt es sich darüber nachzudenken, ob nicht weitere Elemente der IT-Landschaft webbasiert betrieben werden könnten. Bevor ein Outsourcing-Vertrag unterschrieben wird, sollte ein Unternehmen sich jedoch vor Ort von der Sicherheitsarchitektur des Anbieters überzeugen.
Beim dritten Aspekt des Sicherheitsdreiecks, den Prozessen, geht es darum, alle Unternehmensabläufe daraufhin zu überprüfen, ob sie den verschiedenen Bedrohungen - vom Stromausfall bis zu Hackerangriffen - gewachsen sind. Das beginnt bei Zutrittskontrollen im Unternehmen und erstreckt sich über das Übermitteln und Lagern von Dokumenten bis zur schnellen Anpassbarkeit der Prozesse an neue Gegebenheiten.
IT-Sicherheit muss in die Unternehmens-DNA übergehen
Im Moment ist das Thema IT-Sicherheit in vielen Wohnungsunternehmen noch eine Black Box - und eine lästige Pflichtaufgabe. Dabei kann IT-Sicherheit auch Spaß machen. Für alle Entscheidungen ist es essentiell, zu verstehen, dass es nicht mit einmaligen Maßnahmen getan ist, also etwa dem Anschaffen neuer Hard- und Software. In diesem Bereich gibt es kein "Wir sind fertig". Die Verantwortung für die IT-Sicherheit trägt die Unternehmensleitung. Bei ihr fängt das Sicherheitsbewusstsein an und strahlt von dort in die Firma aus - IT-Sicherheit muss in der DNA des Unternehmens verankert und zu einem Mindset entwickelt werden. Technische Geschütze aufzufahren allein reicht nicht: Um das firmeneigene Immunsystem zu stärken, müssen alle an einem Strang ziehen – von der Geschäftsführung über die IT-Abteilung bis hin zu jedem einzelnen Mitarbeiter. IT-Sicherheit fängt im Kopf an, und zukünftig wird es weitere Herausforderungen geben. Neue Technologien, vor allem aus dem großen Werkzeugkasten des Internet der Dinge, bringen erhöhte Anforderungen und Komplexitäten für die IT-Sicherheit mit sich. So erfordern etwa Smart-Home-Elemente wie Alexa und ihre künftigen Erweiterungen spezielle Schutzmaßnahmen, vor allem zu den Themen Datenschutz und Privatsphäre.
Doch worauf sollten Wohnungsunternehmen bei ihrer persönlichen Sicherheitsstrategie achten? Was ist wichtig? Wie sehen die ersten Schritte aus? Das kostenlose Whitepaper "IT-Sicherheit ist Pflicht" leitet Sie in fünf Abschnitten zum sicheren Unternehmen - und bietet auch eine individuelle Risikoanalyse.