Über 90 Prozent der Mitarbeiter der Talanx Gruppe arbeiten in Zeiten von Corona im mobilen Office. Viele von ihnen nutzen dafür Privatgeräte ohne Sicherheitskonzept – ein Eldorado für Cyberkriminelle. Das Group-Security-Team legt in dieser Zeit besonderes Augenmerk darauf, Kunden-, Mitarbeiter- und Partner- Informationen zu schützen. Leonie Windolph ist Teil dieses Teams. Sie vertritt fachlich den Leiter des Bereichs Group Security, Andreas Walz. Während der Krise koordiniert er wiederum als stellvertretender Leiter des Konzern Krisenstabs die IT-Themen und trifft wichtige Security-Entscheidungen direkt im Talanx Krisenstab.
Mehrmals täglich prüft Leonie Windolph, ob es neue Angriffswege und kriminelle Methoden gibt – aktuell besonders vor dem Hintergrund von Corona. „Wir halten unsere Maßnahmen und unsere Technik dagegen, um zu beurteilen, ob eine Gefahr für das Unternehmen besteht. Ist die Angriffsmöglichkeit technisch bedingt, geben wir dies zur Analyse an die IT weiter; gibt es eine organisatorische Bedrohung, wenden wir uns direkt an die Mitarbeiter, zum Beispiel über das Intranet oder per Mail“, erklärt Leonie Windolph ihren Arbeitsalltag. Es greifen dieselben etablierten Sicherheitsprozesse wie vor Corona – inklusive 24/7-Rufbereitschaften, um schnell auf potentielle Angreifer reagieren zu können. Welche neuen Maßnahmen infolge der Pandemie notwendig werden und wie wichtig dabei die Rolle der Mitarbeiter ist, erzählt Leonie Windolph im Interview mit Josefine Zucker aus dem Bereich Group Communications.
Leonie, wie wirkt sich Corona auf das Thema Informationssicherheit aus?
Wir haben durch die Pandemie eine geänderte Bedrohungslage. Kleinkriminalität wie Taschendiebstähle und Ladenüberfälle nehmen ab – auch die Kriminellen sitzen nun quasi im Home-Office. Angreifer nutzen die aktuelle Besorgnis rund um das Virus für umfangreiche Cyberangriffe auf Unternehmen und Privatpersonen. Es werden Computer gekapert, Passwörter und Daten geklaut und Geld erpresst. Dass aktuelle Themen von Kriminellen aufgegriffen werden, ist jedoch an sich nichts Neues. Corona eignet sich deswegen so sehr dafür, weil es die ganze Welt betrifft und weil Viele verunsichert und daher extrem am Thema interessiert sind. Kurz gesagt: Die Zeit eignet sich perfekt für Betrügereien jeglicher Art mit dem Wort „Corona“ als Köder.
Was genau ist neu?
Es gibt ein extrem hohes Aufkommen betrügerischer Websites zum Thema Corona: Diverse Seiten, die das Virus in irgendeiner Form im Namen tragen, versprechen Informationen über die Krankheit, verbreiten aber Schadsoftware. Fake-Shops, wo Masken angeboten werden, die es gar nicht gibt, oder dubiose Medikamente verhökert werden, sind wie Pilze aus dem Boden geschossen. Angreifer wissen, dass viele Unternehmen ihren Mitarbeitern mobiles Arbeiten als Präventivmaßnahme gegen die Verbreitung des Coronavirus ermöglicht haben. Dafür muss in der Regel Software auf den privaten Geräten installiert werden. Viele der gängigen Programme wurden bereits gefälscht und enthalten Schadsoftware. Außerdem werden schadhafte E-Mails versendet, die aussehen, als kämen sie von Kollegen, der Personalabteilung oder dem oberen Management, um über hausinterne Entwicklungen zum Virus zu informieren. Davor warnen wir unsere Mitarbeiter. Wir halten dazu an, die Firewall anzumachen, Backups zu installieren. Denn fällt der Privatrechner aus, ist auch kein Home-Office mehr möglich.
Die Gelegenheit, Malware zu platzieren, ist also günstig. Gleiches gilt für Betrugsversuche, insbesondere den so genannten CEO Fraud. Das ist eine Betrugsmasche, bei der unter Verwendung falscher Identitäten –meist aus der Direktionsebene –die Überweisung von Geld veranlasst werden soll. Es ist ja unheimlich einfach, eine Mail aussehen zu lassen, als käme sie von jemand anders oder einen Anruf mit einer künstlich erzeugten Stimme durchzuführen. Da der persönliche Kontakt stark eingeschränkt ist, haben viele Unternehmen Zahlungswege vereinfacht. Unser Tipp: Damit sich weiterhin keine Angreifer einklinken, dürfen wichtige Regeln und Prozesse wie das 4-Augen-Prinzip auch in Krisenzeiten nicht vernachlässigt werden.
Was tut ihr, um das Unternehmen zu schützen?
Unser Job in der Krisenarbeit ist es, die uns anvertrauten Informationswerte zu schützen. Aus diesem Grund ist unser Talanx Security Chef Andreas Walz auch Kernmitglied im Konzern-Krisenstab. Dass plötzlich so viele Mitarbeiter von zuhause aus arbeiten, stellt uns natürlich vor neue Herausforderungen: Halten die virtuellen Zugänge der Last stand? Erzeugen wir neuralgische Punkte für Cyberangriffe? Schaffen wir es, die Kollegen ausreichend zu sensibilisieren, auch im mobilen Office unser Sicherheitsniveau aufrecht zu erhalten?
Wir haben schon lange vor Covid-19 einen starken Fokus darauf gelegt, die Arbeitsumgebungen zu virtualisieren und hatten damit sowohl technisch als auch organisatorisch bereits eine gute Ausgangsbasis; dies haben wir jetzt schnell ausgebaut. Zum Beispiel sind die virtuellen Clients angemessen gekapselt, um nicht durch Angriffe eines Endgeräts gefährdet zu werden. Außerdem arbeiten wir ständig mit Hochdruck daran, kurzfristig sichere IT-Tools fürs mobile Arbeiten freizugeben. Nichts ist schlimmer als die Etablierung einer Schatten-IT, also, wenn auf nicht genehmigte Tools ausgewichen wird, die kostenlos im Internet angeboten werden. Diese Tools sind darauf ausgerichtet, dass wir statt mit Geld mit den darin transportierten Daten bezahlen, zum Beispiel bei Zoom. Daher die Bitte an die Mitarbeiter: Wenn ihr eine Lösung braucht, dann meldet es hier an. Nehmt die offiziellen Unternehmensdienste und nicht willkürlich irgendwelche Ausweichlösungen.
Und: Informationssicherheit bedeutet nicht nur Vertraulichkeit, sondern auch Verfügbarkeit und Integrität. Wir haben unglaublich schnell sehr vielen Nutzern ermöglicht, mobil zu arbeiten, und so dafür gesorgt, dass unsere Kernprozesse laufen!
Welche Rolle spielen die Mitarbeiter?
Die Umsicht der Mitarbeiter ist unsere wertvollste Firewall, weit über alle technischen und organisatorischen Maßnahmen hinaus. Jeder ist mit dafür zuständig, dass keine Unbefugten Daten und Informationen einsehen oder abgreifen können – muss also in der Umgebung des mobilen Office bewusst und selbstständig Security-Maßnahmen umsetzen. Und eben einfach achtsam sein, zweimal gucken: Kann es sich um Fake News oder Fake E-Mails handeln, möchte jemand mein Geld, meine Daten oder mich manipulieren? Nur gemeinsam können wir eine Verteidigungslinie aufbauen, die sämtlichen Angriffen standhält.
Was ist der größte Fehler, den ich im Home-Office machen kann?
Ein wichtiges Thema ist der sichere Umgang mit Akten, insbesondere der Transport und die Entsorgung. Stichwort Dumpster Diving: Es wird wirklich in Mülleimern gesucht, ob man da irgendetwas findet! Deshalb ist es so wichtig, dienstliche Unterlagen über die Prozesse der Firma zu entsorgen – also im Aktencontainer im Büro. Es gibt eine Arbeitsanweisung dafür, in welche Schnipselgrößen vertrauliche Dokumente geschreddert werden müssen. Das richtet sich nach dem Wert der Informationen.
Zuhause drucken ist nicht vorgesehen. Geschäftsbriefe können stattdessen über einen zentralen Service gedruckt und verschickt werden. Für den Aktentransfer zwischen Standorten gibt es abschließbare Transportcontainer.
Die zweite Sache: Telefonate. Telkos und Videokonferenzen werden oftmals bei offenem Fenster oder auf der Terrasse geführt. Manchmal ist einem gar nicht bewusst, welchen Wert die Information, die man dort ausspricht, für jemand anderen hat.
Und dann wären da noch vermeintlich profane Dinge. Man sollte auch im Home-Office vor Verlassen des Arbeitsplatzes den Computer immer sperren. Ein spielendes Kind kann das gerade erzeugte Arbeitsergebnis löschen oder die spaßige Mail, die gerade an die Kollegen gehen sollte, an den Vorstand senden . (lacht)
Leonie, herzlichen Dank für das Interview!