Das gilt für einen weiteren Trend: Zunehmend haben Mitarbeiter außerhalb des Büros via Internet Zugang zu ihren Daten mit mobilen Endgeräten wie Smartphones oder Tablet-PCs. Doch oft ist nicht geregelt, wer mit welchem Gerät an welche Daten kommt.
Sicherheitsexperten raten, Zugriffsrechte so weit wie möglich einzuschränken. Das habe wenig mit Misstrauen zu tun – es minimiert schlicht das Risiko: Ein Smartphone, das ein Manager im Taxi liegen lässt, darf keine Einblicke in Unternehmensgeheimnisse bieten.
So gilt unter Experten nicht nur die Technik selbst als gefährlich, sondern der Mensch, der sie nutzt. Jeder zweite Chef betrachtet laut IDC-Studie die Mitarbeiter als schwächstes Glied in der Sicherheitskette. „Verbindliche Verhaltensregeln müssen vorgelebt werden“, sagt Michael Sobbek, Geschäftsführer der Sicherheitsberatung Janus Consulting und vormals Sicherheitsmanager der Dresdner Bank.
Auch der Chef müsse den USB-Zugang seines Rechners verschließen oder mit einem gesonderten Notebook zu Vorträgen gehen. Oder deutlich machen, dass Mitarbeiter etwa auf Zugfahrten nicht sorglos ihren Laptop mit den neuesten Produktplanungen aufgeklappt lassen, während sie kurz im Bordbistro einen Kaffee holen.
Gefährliche Standartpasswörter
Um die Sensibilität ihrer Mitarbeiter für dieses Thema zu erhöhen, hat die Marketingabteilung des Karlsruher IT-Dienstleisters Fiducia eine besondere Kampagne entwickelt: Mit einem Quiz im Intranet wurden die „Security Champs“ des Unternehmens ermittelt und auf einer After-Work-Party prämiert. Die gesamte Belegschaft vom Vorstand bis zum Pförtner machte mit.
Plakate auf den Unternehmensfluren vermitteln das ernste, für viele aber abstrakte Thema mit einem Augenzwinkern. Zeigen etwa Mitarbeiter, die ihren Laptop mit einem Kettenschloss umwickeln oder gelbe Notizzettel aufessen: „An mein Passwort kommt niemand ran!“
Auch der Betreiber des Online-Shops, in den Hacker Overbeck eindrang, will künftig vorsichtiger sein. Nach dem simulierten Angriff schaltete er seine Seite sofort ab und korrigierte die fehlerhaft programmierte Web-Seite.
Manchmal, so Testhacker Overbeck, dauere die Absicherung einer Datenbank gar nur zwei Minuten – durch die Wahl eines neuen, sichereren Passworts für den Administrator. Denn das lautet fatalerweise oft einfach nur: „Admin“.
