Nachgefragt bei Sebastian Rohr, Accessec

Audit, Audit und nochmals Audit

Interview mit Sebastian Rohr, technischer Geschäftsführer der Accessec GmbH

Sebastian Rohr, Accessec

Sebastian Rohr, Geschäftsführer bei Accessec

IT-DIRECTOR: Herr Rohr, häufig gelten Angriffe von außen sowie von den eigenen Mitarbeitern – sei es aufgrund von Fahrlässigkeit oder aus voller Absicht – als größtes Gefahrenpotential für die Unternehmens-IT. Viele Großfirmen arbeiten jedoch insbesondere im Beratungs- und IT-Umfeld mit externen Dienstleistern zusammen – welches Risiko bergen deren Mitarbeiter für die Unternehmenssicherheit?
S. Rohr: Wenn externe Dienstleister zur Nutzung interner IT-Ressourcen gezwungen sind, erlangen diese Mitarbeiter oftmals – wenn auch ungewollt – Einsicht in interne Systeme, Architekturen und Daten. Nicht selten, entstehen dabei Situationen, in denen die Externen auch vertrauliche oder geheime Daten sowie personenbezogene Daten der internen Mitarbeiter einsehen können. In diesem Fall sind sowohl Infrastrukturdienstleister vor Ort als auch Beratungshäuser in der Pflicht, mit dem Auftraggeber eine Vereinbarung zur Auftragsdatenverarbeitung zu schließen, auch wenn die Daten niemals die Systeme des Auftraggebers verlassen.

IT-DIRECTOR: Inwieweit sind bereits Fälle bekannt, bei denen sich der externe IT-Dienstleister als Sicherheitsrisiko für Unternehmen erwiesen haben? Können Sie uns ein konkretes Beispiel nennen?
S. Rohr: Nicht selten werden Dienstleistern die ihnen anvertrauten Datenträger oder Laptops entwendet. Ob liegengebliebene USB-Sticks mit gespeicherten Kundendaten oder gar ganze Rechnersysteme, die aus Fahrzeugen gestohlen werden: Risiken aufgrund von Fahrlässigkeit finden sich überall! Sehr viel kritischer wird jedoch die vorsätzliche Einsichtnahme in interne Systeme gewertet. Denn selbst der Zugriff auf Test- oder Analyse-Instanzen, ermöglicht Rückschlüsse auf tatsächliche sensible Unternehmensinterna. Hier helfen einzig und allein rechtlich bindende Vereinbarungen mit Vertragsstrafen bei Verstoß und zur Vermeidung des Abflusses kritischer Daten: stets gut gepflegte und niedrig gehaltene Zugriffsprivilegien.

IT-DIRECTOR: Inwiefern nehmen IT-Verantwortliche die von den Mitarbeitern externer Dienstleister ausgehende Bedrohung bereits ernst?

S. Rohr: Eher selten werden die Bedrohungen ernst genommen – das „Urvertrauen“ in den Dienstleister und dessen Mitarbeiter ist oft sehr groß. Einige Unternehmen fragen zwar nach Datenschutz und -sicherheit sowie Vertraulichkeitsvereinbarungen, dennoch wird deren tatsächliches Vorhandensein und die konkrete Einhaltung selten geprüft oder auditiert. Oftmals reicht in der Fachabteilung ein Häkchen im Antrag für „Datenschutzvereinbarung liegt vor“. Kaum ein Unternehmen führt einen richtigen „Vetting Process“, also die Überprüfung der Mitarbeiter auf rechtlich bedenkliches Verhalten durch. Bei externen Dienstleistern verlassen sich die Unternehmen oftmals blind auf den Personalauswahlprozess des Dienstleisters.

IT-DIRECTOR: Um effektiv arbeiten zu können, müssen externe Kollegen nahtlos in die Prozesse des Anwenderunternehmens eingebunden werden. Worauf sollten die Verantwortlichen beim entsprechenden Benutzer- bzw. beim Identity-Management achten?
S. Rohr: Neben dem konventionellen Weg, Identitäten für interne Mitarbeiter über das Personalsystem zu erstellen, muss in jedem IAM-Projekt auch der Weg zur Erstellung von Identitäten Externer in einem Prozess fixiert werden. Hierzu gehören neben einer klaren Definition: Wer kann solche IDs beantragen und was sind die hierfür notwendigen Attribute? Die erhobenen Daten müssen auf jeden Fall validiert und mit vorhandenen Informationen abgeglichen werden, um nicht im Antragsprozess eine Vielzahl von Dubletten zu erzeugen.

IT-DIRECTOR: Welche Rolle spielt das „Social Engineering“ bei Mitarbeitern von externen Dienstleistern?

S. Rohr: „Social Engineering“ mit dem Ziel tatsächlich Schaden zu verursachen, spielt eine eher nachgelagerte Rolle. Es sei denn sowohl die Auswahl des Dienstleisters als auch der „Vetting Process“ in beiden Unternehmen ist fehlgeschlagen und der Mitarbeiter spioniert im Eigeninteresse oder im Auftrag Dritter unternehmensinterne Daten aus. Eine gewisse Neigung zum Social Engineering zwecks Erlangung eigentlich interner Informationen (um sich persönlich oder der eigenen Firma Vorteile zu verschaffen) ist jedoch leider keine Seltenheit. Die Grenzen zwischen vorsätzlicher Spionage und angeregtem Kaffeeplausch sind fließend. Häufig werden Unternehmensinterna an Externe unbeabsichtigt weitergegeben, ohne die Konsequenzen im Blick zu haben.

IT-DIRECTOR: Um böse Überraschungen zu vermeiden: Welchen Sicherheitsanforderungen bzw. Zertifizierungen müssen IT-Dienstleister entsprechen, die sich um Projektausschreibungen bei Unternehmen sowie bei Behörden bewerben wollen?
S. Rohr: Zertifizierungen sind allenfalls eine Auszeichnung für eine ordnungsgemäße  Buchführung und dokumentierte Papierprozesse, jedoch über die tatsächliche (IT-)Sicherheit eines Unternehmens sowie die Qualität und Sorgfalt ihrer Mitarbeiter, sind sie wenig aussagefähig. Grundsätzlich sind Zertifizierungen nach Grundschutz oder ISO 2700x eine hilfreiche Orientierung, die zeigt, dass das die Unternehmen sich mit diesem Thema auseinandergesetzt haben. Spannender sind jedoch die persönlichen Zertifizierungen der Mitarbeiter wie CISSP, TISP, CISA, CISM, CGEIT etc., die durch ihren Ehrenkodex den Mitarbeiter zu ehrlicher und aufrichtiger Verhaltensweise verpflichten.

IT-DIRECTOR: Gibt es neben dem Behördenumfeld weitere Branchen, die bestimmte Sicherheitsqualifizierungen seitens des externen Personals fordern?
S. Rohr: Im Fahrzeugbau, bei Ingenieursdienstleistungen, in der Rüstungsindustrie und im Hightech-Bereich sind bestimmte Sicherheitsqualifizierungen seitens externer Dienstleister erforderlich.

IT-DIRECTOR: Wie können IT-Verantwortliche auf Nummer sicher gehen, dass der Dienstleister mit personenbezogenen Daten des Anwenderunternehmens kein Schindluder treibt?
S. Rohr: Audit, Audit und nochmals Audit – und Verträge die erhebliche Vertragsstrafen bei einem Verstoß festlegen.

IT-DIRECTOR: Viele externe Fachkräfte arbeiten mitunter häufig mit Laptops bzw. anderen mobilen Endgeräten wie Tablets oder Smartphones innerhalb des Anwenderunternehmens – wie können Verantwortliche dafür sorgen, dass diese der eigenen IT nicht gefährlich werden?
S. Rohr: Das ist ein eigenes und wichtiges Thema, zudem einiges zu sagen wäre. Vielleicht als kurzer Einstieg nur ein paar Stichworte: Eine organisatorische Vorgabe im Vertrag kann helfen, keine Kundendaten oder Informationen zu Unternehmensinterna des Kunden auf dem Beratersystem zu nutzen. Ein konkretes Verbot diese Geräte ins interne Netz zu lassen ist zudem Standard! Kein IT-Leiter kann heute guten Gewissens offene WLANs oder freie Netzwerkdosen dulden, die einem Berater mit seinem eigenen Gerät Zugriff auf das Unternehmensnetzwerk gewähren. Explizite Gastnetze per WLAN zu etablieren, hat sich in diesem Zusammenhang als vorteilhaft erwiesen.

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok