Cybersicherheit und Wartungstechniker: Wie Sie die Daten Ihrer Einsätze schützen

Wartungstechniker im Außendienst sind besonders anfällig für die Bedrohungen, die von Hackern ausgehen. Eine Politik der Cybersicherheit umfasst sowohl technische Mittel als auch die Sensibilisierung und Schulung der Mitarbeiter.
 
Datenlecks bei AccorHotels, CHU Rouen durch eine ransomware gelähmt … Die aktuellen Nachrichten zeigen, dass kaum ein Tag vergeht, ohne dass über IT-Piraterie berichtet wird. Und dabei handelt es sich nur um die Fälle, die in die Medien geraten. Die Mehrheit der Vorfälle wird geheim gehalten, um die Reputation des angegriffenen Unternehmens zu schützen.
 
Wir wollen nicht in Paranoia ausbrechen, aber die Gefahr ist real. Verschiedene Attacken wie Denial of Service (DDoS) oder APT (advanced persistent threat) kombinieren Techniken des Social Engineering und Nutzen die Schwachstellen von IT-Systemen effizient aus. Die Bedrohungen werden immer komplexer und variantenreicher.
 
Auch das Profil der Piraten hat sich geändert. Die Zeiten „freundlicher“ Hacker, die nur als erste in prestigeträchtige IT-Systeme wie das der NASA eindringen wollten, sind vorbei.
Diese Geeks sind von Cyberkriminellen abgelöst worden, die nur vom Gewinn motiviert sind. Sie starten ransomware, um Fonds zu leeren oder nutzen phishing-Techniken, um im „Dark Web“ mit gestohlenen Daten Geld zu machen. Sie wiederholen Verbrechen, die sie schon im realen Leben begangen haben, nur dieses Mal mit weniger Risiko.

Der Mensch, das schwächste Glied in der Politik der Cybersicherheit

Am Anfang einer Attacke findet sich oft der Mensch, das schwächste Glied in der Politik der Cybersicherheit. Die Kriminellen greifen auf Techniken des Social Engineering zurück, um die Schwächen der Menschen zu nutzen und an Schlüsselinformationen heranzukommen.
 
Einige Mitarbeiter erleichtern ihnen ihre Aufgabe, indem sie ein Passwort vom Typ 123456 wählen oder es auf ein Post-It schreiben und an ihren Bildschirm kleben. Man muss sie also in regelmäßigen Abständen an ihre Sorgfaltspflichten im Bereich IT erinnern. Die Plattform cybermalveillance.gouv.fr hat ein Kit der Sensibilisierung veröffentlicht, dass vor allem die Erstellung eines robusten Passwortes zum Thema hat.
 
Die am häufigsten angewendete Technik ist immer noch das Phishing. Ein Mitarbeiter erhält eine E-Mail, die ihn einlädt, auf einen Link zu klicken oder einen Anhang zu öffnen. In beiden Fällen wird ein Virus auf dem Computer installiert, der von dort aus auf den Rest des Unternehmens überspringt.
 

Die Sensibilisierung entsprechend der Profile personalisieren

Die klassischen Fortbildungen haben ihre Grenzen gezeigt. Hersteller wie Conscio Technologies bieten jetzt einen spielerischen Ansatz auf Basis von Videospielen, Quiz und ultrarealistischen Szenarien an. Auf diese Art und Weise ist es möglich, eine Phishing-Kampagne zu simulieren und diejenigen Mitarbeiter zu finden, die am ehesten in die Falle tappen würden.
 
Hier ist es wichtig, die Sensibilisierung für das Thema auf bestimmte Personengruppen im Unternehmen abzustimmen. Der Schwerpunkt liegt dabei auf Führungskräften, die mit sensiblen Daten arbeiten, aber auch auf Außendienstmitarbeitern. Denn sie sind unterwegs nicht durch die gleichen Maßnahmen (firewall, proxy) geschützt wie ihre Kollegen in der Zentrale.

Wartungstechniker im Visier

Wartungstechniker im Außendienst werden von Piraten gerne ins Visier genommen. Deshalb müssen die Techniker immer wieder an bestimmte Sicherheitsvorkehrungen erinnert werden, selbst wenn sie selbstverständlich erscheinen. Die Techniker dürfen ihr Smartphone oder Tablette niemals außer Sicht lassen. Sie loggen sich niemals in ein öffentliches W-LAN ein, sondern ausschließlich in private Netzwerke (VPN) ihrer Unternehmen.
 
Die Servicetechniker benutzen keinen USB-Stick, schon gar nicht einen geliehenen. Sie schicken ihre Einsatzberichte nicht über online Nachrichtendienste, sondern über eine gesicherte Software zur Einsatz- und Tourenplanung.
 
In einem Praxis-Formular hat das Portal Cybermalveillance grundlegende Regeln veröffentlicht. Die nationale Agentur für IT-Sicherheit (Anssi) bietet einen Ratgeber für Reisende an, der Tipps zur Sicherung sensibler Daten enthält.

Mit zertifizierten Softwarehersteller arbeiten

Neben diesen Maßnahmen zur Sensibilisierung gibt es ein paar klassische Techniken, um Techniker im Einsatz zur schützen. Ein erster Schritt besteht darin, eine Software zur Einsatz- und Tourenplanung im SaaS (Software as a Service) Modus zu nutzen und damit einen Teil der Sicherungsarbeit an den Softwarehersteller zu übertragen.
 
Dieser Hersteller muss natürlich nach der DSGVO arbeiten, sollte aber auch nach ISO 27001 zertifiziert sein. Diese internationale Norm zum Management der Sicherung von Informationen garantiert, dass der Hersteller Daten nach allen Regeln der Kunst schützt.
 
Auf individuellem Niveau kann man mit einem verschlüsselten USB-Stick, wie sie von Kingston oder DataLocker angeboten werden, sensible Daten chiffrieren oder sie in einem Safe mit einer Kapazität von 4 bis 128 Go lagern.

EMM = MDM + MAM + MCM

Auf kollektiver Ebene existieren Lösungen wie EMM (Enterprise Mobility Management), um eine Flotte mobiler Endgeräte zu steuern. Sie enthalten verschiedene Module.
 
Das erste Modul, MDM (Mobile Device Management) kümmert sich um die materielle Seite. Es versetzt den Administrator in die Lage, nur angemeldeten Geräten Zugang zu den Ressourcen des Unternehmens zu gewähren. Ein MDM stellt sicher, dass jedes Terminal die vorgegebenen Sicherheitsnormen respektiert. Wird ein Gerät gestohlen oder verloren, wird es sofort blockiert.
 
Das MAM (Mobile Application Management) steuert mobile Apps. Der Administrator kann die Installation oder den Zugang zu bestimmten Apps verbieten, die nicht den Sicherheitsvorschriften des Unternehmens entsprechen. Außerdem kann er bestimmte Aktionen wir Copy-Paste oder Speichern reglementieren. Mit MAM kann man auch die Nutzung von Apps nachverfolgen und Updates aus der Entfernung durchführen.
 
Schließlich kann man mit MCM (Mobile Content Management) oder MIM (Mobile Information Management) die Nutzung sensibler Daten kontrollieren. Sie können verschlüsselt oder gelöscht werden. Im Falle eines Diebstahls oder Verlustes eines mobilen Endgerätes kann das auch aus der Entfernung erfolgen.
 

Byod eingrenzen und gegen Schatten-IT kämpfen

Diese EMM-Lösungen ermöglichen es, das Phänomen Byod (Bring your own device), bei dem Techniker ihre privaten mobilen Endgeräte auch im Beruf benutzen, einzugrenzen. Das wird dadurch erreicht, dass diese Lösungen eine Blockade zwischen beiden Nutzungswelten errichten und so das Risiko gegenseitiger Kontaminierung verringern.
 
Sie helfen auch dabei, gegen die Schatten-IT zu kämpfen. D.h. gegen alle installierten Apps, die nicht vom IT-Service genehmigt worden sind. Die Cloud hat dazu geführt, dass gerade diese Schatten-IT mit Online-Diensten wie Dropbox, Google Drive, Evernote, Gmail oder WeTransfer explodiert ist.
 
Eine EMM-Lösung versetzt ein Unternehmen in die Lage, seine Sicherheitspolitik auf bestimmte Personengruppen abzustimmen. Durch definierte Profiltypen der Nutzer – zum Beispiel ein Techniker im Außendienst – ist der Zugriff auf Apps, Daten und anderen Funktionen für bestimmte Nutzer mehr oder weniger begrenzt.
 
Alle diese Maßnahmen haben das Ziel, nicht nur den Wartungsdienstleister sondern auch seine Kunden zu schützen. Laut Anssi gibt es zunehmend Angriffe, die wechselseitig zwischen verschiedenen Unternehmen hin und her springen. Kriminelle greifen immer öfter Subunternehmen an, um an ihr eigentliches Hauptziel heranzukommen.