Mitarbeiterverhalten und Datenschutz: Die 10 riskantesten Gewohnheiten


Kommentare zu folgendem Beitrag: Mitarbeiterverhalten und Datenschutz: Die 10 riskantesten Gewohnheiten

Erschreckend womit man sich immer noch rumplagt. Besonders teilweise an Stellen bei denen es entsprechend Administrative und Verhaltenseinschränkungen geben sollte. Aufgeklärt wird weiter wenig weil dann auch auffallen würde, das die eigen ein/aufgeschwätzte Software genauso ein Risiko ist.
Am meisten erschreckt wie das auch oft Berufsfelder sind wo man es besser wissen müsste, aber noch auf dem Stand der 80er ist. Oder in Bereichen wo es einfach aufgedrückt wird, weil man gar nicht dagegen angehen kann.
Selbst die oft eingesetzten Datenschutzbeauftragte haben oft weder Ahnung noch Lust und werden genau deswegen auf den Posten gesetzt.

In der Regel unterschreibt jeder Mitarbeiter, dass jegliche private Nutzung des Firmeninternets untersagt ist. Bei Zuwiderhandlung Abmahnung.

Dann ist die IT gefragt. Eine Software-Firewall wird mal kurz zwischen Frühstück und Vesper von einem gut programmierten Virus gekillt. Ich würde erst mal von innen für Sicherheit sorgen, was nützen die ganzen tollen Firewalls, wenn so ein Superheld kommt und einen infizierten USB-Stick einsteckt.

Eine Firewall ist genau eines: Eine Firewall. KEIN DHCP, KEIN Fileserver, KEIN … → sondern NUR eine Firewall (ggf. mit Virenscanner für den Datenverkehr o.ä.). Und wenn man sich ein klein wenig aus dem Fenster lehnen möchte, dann ggf. noch einen Proxy-Server auf die Firewall.

Letzten Endes hängt die Absicherung und die Umsetzungen dazu, immer an den Mitarbeitern der internen IT-Abteilung oder dem externen IT-Dienstleister.
Diese müssen sich immer (auch heutzutage) zuerst vor Augen halten:

DAU = GAU !!!

Auch wenn es dem normalen Mitarbeiter per Arbeitsvertrag untersagt ist, seinen priv. USB-Stick am Firmen-Client einzustecken, sollte ein Admin trotzdem alles erdenkliche tun, damit es technisch erst gar nicht möglich ist usw.
Heutzutage sollte auch eine DPI-Appliance der minimalste Standard sein für Firmen-Netzwerke, auch wenn nur wenige Mitarbeiter vorhanden sind!
Sensibilisierung der Mitarbeiter in dem Bereich, sollte aber auch immer mit dazu gehören. Wenn man dem User erklärt, dass sein eigener Arbeitsplatz und sein Gehalt, von der internen Sicherheit der Firmendaten abhängig ist, reagiert er meist nicht mehr so gedankenlos und hält sich an die vorgegebenen internen Regeln!

1 „Gefällt mir“

Zero Trust! Alle Assets des Unternehmens sollten inventarisiert und die erforderlichen Zugriffsrechte auf Anwendungen oder Geräte genau definiert werden. Sowohl an den Netzwerkgrenzen als auch innerhalb des eigenen Netzwerks müssen Systeme vorhanden sein, die den Datenverkehr analysieren, zulassen oder verbieten und alle Aktionen mitloggen.

Das setze ich mal als grundlegend voraus! Ansonsten heißt das für den Admin → 6, setzen!!

Eine DPI-Appliance ist ja an der sogenannten Netzwerkgrenze das Gateway! Innerhalb des Netzwerks, kann eine Kontrolle z.B. über eingesetzte managed Switches und / oder Router effektiv durchgeführt werden…
Eine komplette Virtualisierung eines solchen Netzwerks - Orchestrierung wird häufig im Zusammenhang mit serviceorientierten Architektur- , Virtualisierungs- , Bereitstellungs- , konvergenten Infrastruktur- und dynamischen Infrastrukturthemen implementiert. Bei der Orchestrierung geht es in diesem Sinne darum, die Sicherheit und den Datenverkehr mit den Anwendungen, Daten und der Infrastruktur in Einklang zu bringen.
Dies senkt natürlich auch die allg. Kosten, sowie en insgesamten administrativen Aufwand!

BTW:

In über 75% der internen Unternehmens-Netzwerke haben die User, entweder falsche und / oder viel zu hohe Berechtigungen, die sie fürs tägliche Arbeiten gar nicht brauchen. Da kann schon zumeist eine simple Reorganisation des Netzes in unterschiedliche OUs mit integrierten Sicherheitsprinzipalen helfen.

Ein großes Problem bei Firmen-Netzwerkinfrastrukturen, sind fehlerhafte Konfigurationen, die seit der ersten Einrichtung bis dato mitgeschleppt werden. Die Ersteinrichtung vor zig Jahren wurde zumeist nur mit dem Blickpunkt auf Produktivität ausgelegt. Zu diesen Zeiten wurde die interne IT einfach kaputt gespart und allgemein sehr stiefmütterlich behandelt - sie war halt da und lästig!
Nachdem dann die Unternehmen gemerkt haben, dass ihre Daten ihr echtes Kapital sind, erfolgte erst eine Umstellung des Denkens über den Stellenwert der IT im Unternehmen. Seitdem werden zumeist nur die Altlasten geflickt, was natürlich die Grenzen sehr eng absteckt…

Früher wurden Leibeigene öffentlich ausgepeitscht, wenn sie ungehorsam waren. Warum hat man das abgeschafft? Das würde den einen oder anderen Anwender motivieren, sich mehr anzustrengen!

Es würde vielleicht schon helfen, spätestens im Wiederholungsfall, nicht nur mit Abmahnung zu drohen, sondern diese auch zu verteilen!

Hin und wieder mal ein Milliarden-Arschloch an einer Drahtschlinge baumeln zu sehen, könnte irgendwie soziale Entspannung bewirken.
Ich werde mich mal mit ChatGPT unterhalten. Ich hab da eine Idee für einen tollen Film …

„Du böser Bube! Wenn du das noch zehn Mal machst, werden wir rücksichtslos ungeduldig werden!“

IT-Abteilung überlassen, Infrastruktur neu organisieren (zugriffsrechte), Datenverkehr überwachen, Mitarbeiter sensibilisieren…
Alles gute Ideen! Ich muss aber die Effizienz anzweifeln.

Zum einen bedeutet das einen enormen Aufwand für die besagten ITler, was mehr von der Sorte nötig macht. Wir haben so schon nicht genug bzw. die Fähigkeiten schwanken sehr stark. Auch wegen der Spezialisierung. Die Ausbildungen müssten eigentlich alle mehr hybridisiert sein. Die kleine Hürde das der Fachbereich zweisprachig ist hilft auch nicht gerade. Rein Englisch wäre besser gewesen.

Zum anderen muss viel früher angesetzt werden. Informatikunterricht gibt es in Schulen nur selten und gehen - wenn überhaupt - nur bis zur Verwendung von Word/Excel. Selbes Level haben etwa 70% (grobe Schätzung von mir!) der Schulungsangebote für Erwachsene.
Argentur für Arbeit/Jobcenter sind die Sekunden meines Lebens eigentlich nicht wert sie zu erwähnen. :face_exhaling:

20 Jahre verschlafen und das ist nunmal das Ergebnis. Schadensbegrenzung und vor allem aus dem Fehler nachhaltig zu lernen, ist alles was man tun kann. Und muss. :wink:

Edit:
Vielleicht noch was positives zum Schluss. Was ich bisher gesehen habe ist zumindest beim bewaffneten Wachschutz (zivil) das Niveau überdurchschnittlich hoch.

Die Kosten einer Infiltration übersteigen das Zero Trust Budget um ein Vielfaches.

Mitte letzten Jahres, wurden diverse kommunale Verwaltungen und Einrichtungen von kleineren und mittelgroßen deutschen Städten, in Baden-Würthemberg, Hessen und Bayern gehackt und mittels Ransomware, fast durchgängig verschlüsselt…
Die Einzelheiten der (meines Wissens) acht betroffenen Kommunen sind hier erstmal irrelevant.
ABER → Von den acht Stadtverwaltungen, sind heute nach knapp einem Jahr, erst drei wieder vollständig einsatzfähig, wie vor den Attacken :bangbang:
Bei vier Behörden, schwankt die Einsatzfähigkeit zwischen 60 - 80 Prozent - diese vier Kommunen sind auch noch nicht wieder online gegangen (auch nicht für den Datenaustausch mit dem Land und dem Bund etc. pp.). Dort herrscht noch echtes Turnschuh-Netzwerk, wie vor über 30 Jahren aktuell :bangbang:
Eine Stadtverwaltung, deren Name nie genannt wurde und die in ihrem Kreis ca. 80.000 Einwohner betreut, hat es am härtesten getroffen…
Dort wird nun seit fast einem Jahr, immer noch an der Wiederherstellung der Daten (teilweise aus uralten Backups und entschlüsselten Fragmenten usw.) gearbeitet. Man wäre mit ca. 75 - 85% soweit, dass Klartext vorliegt. Ob man wirklich wieder alles zurück bekommt, ist mehr als fraglich…dazu gibt es auch keinerlei Aussagen der Stadt. Gerüchten zu Folge, wäre mittlerweile der dritte IT-Dienstleister dort mit involviert?! Die ersten beiden haben es wohl hingeschmissen, warum auch immer…?

Ich denke, dass man die Begrifflichkeit der Effizienz hier z.B. neu überdenken muss… :bangbang: :joy:

Compliance: dient dem Schutz des Managements gegen die Mitarbeiter
Wer Microsoft Office im Büro einsetzt, mit Exchange und Azure, dem ist eh nicht zu helfen… wie halt 99% aller Anwender.

Tja, wenn Realität und Wunschdenken kollidieren.
Der Anwender als DAU kann nur dann GAU sein, wenn die IT das auch so schön zulässt.
Noch schlimmer, wenn das Management die IT zwingt, Dinge zu tun, bei denen der Anwender um jeden Preis Auswege suchen muss, um weiter produktiv zu arbeiten.
Gerne und immer „wegen“ Microsoft, Oracle, SAP und anderen „Providern“ und deren „rules“ begründet.

Jo, früher war alles besser! Buffering hieß noch Bandsalat und mit Azure war das tiefblaue Meer gemeint. Die Cloud hat eben den einen Vorteil, dass alles abgeschottet vom Anwender läuft, mit fast null Administrationsaufwand. Miniclient und Monitor auf den Tisch - fertig! Datenschutz aber auch Null!

Stümmt…früher fiel aus der Cloud noch Regen auf die Erde!

Ein weiteres Beispiel zum Thema Effizienz:

Der Anbieter von drei gr. Rechenzentren, Mivitec GmbH in München, ist in der Nacht vom 18.-19.05.2023 Opfer eines gezielten Cyberangriffes gewesen. Das Unternehmen gehört seit 2021 zu der Fa. myLoc in Düsseldorf, ein Provider-Urgestein!

Aus einer ungenannt bleiben wollenden Quelle weiß ich, dass die gesamten Dienste des Betreibers down seien und die IT-Leute die Server neu aufsetzen. Vermutet wird, dass dies nicht nur eine „Teilstörung“ ist, sondern die gesamte VMware Cloud-Infrastruktur betroffen ist, plus der firmeneigenen Verwaltungssysteme! Wegen dem Punkt „Server neu aufsetzen“ ist möglicherweise etwas infiziert/verschlüsselt worden, was tiefergreifend ist und es scheint wohl auch die Backups zu tangieren. Ob Kunden jemals an ihre VMware-Instanzen und Daten herankommen, ist unklar – das ist wohl ein Sicherheits-GAU.

Die Cyber-Security- und IT-Experten vor Ort in den Mivitec Rechenzentren haben mit Ihrer Arbeit begonnen, die kompl. Rechenzentren und die eigenen internen Systeme zu recovern. Wie lange dieser Prozess andauern wird und ob eine vollständige Wiederherstellung aller systemrelevanten Daten möglich ist, ist bis dato (12.06.2023) absolut unklar.
Selbst die eigenen Online-Sites von Mivitec sind immer noch dunkel :bangbang:

Also, wir reden hier nicht von irgend einer 08/15 - Firma oder einem drittklassigen Systemhaus, sondern von einem top RZ-Provider, von dem auch andere Hosting-Provider usw. abhängig sind (z.B. United Hoster etc.). Aktuell nach knapp vier Wochen, ist der Stand der Dinge quasi zu 99% identisch, wie VOR knapp vier Wochen :bangbang: :bangbang:

Soll mir noch einer mit der Effizienz-Thematik kommen…!

Der Laden hat auch fertig.

https://www.borncity.com/blog/2023/05/25/sicherheitsvorfall-united-hoster-und-mivitec-virtualisierungsumgebungen-gehackt/

Wieso auch :interrobang:

Da gehts doch auch um Mivitec und United Hoster, wie in meinem Posting zuvor!