Die digitale Welt ist dynamisch, und mit der hohen Innovationsgeschwindigkeit im Cloud Computing sowie stetig wachsenden technischen Bedrohungslagen und Cyberrisiken stehen Organisationen vor immer neuen Herausforderungen für den sicheren Einsatz von IT. Hacker sind ständig bestrebt, in Systeme einzubrechen und vertrauliche Informationen zu stehlen, wie aktuelle Berichte zeigen. Daher ist es von entscheidender Bedeutung, Informationssicherheit nicht nur als technische Aufgabe zu begreifen, sondern als integralen Bestandteil aller Kommunikationsprozesse einer Organisation.
Warum Informationssicherheit in der Kommunikation so kritisch ist
Die Fachzeitschrift „IT-GOVERNANCE“ beleuchtet in einem Beitrag von Petra Haferkorn die fundamentale Bedeutung dieses Themas. Der Artikel macht deutlich, dass Hacker gezielt Informationen über Unternehmen und Behörden sammeln, indem sie deren Webseiten und das Internet nach Schwachstellen durchsuchen. Viele dieser Informationen werden von den Organisationen oft als harmlos eingestuft und bedenkenlos preisgegeben, obwohl sie Kriminellen helfen, Schwachstellen und Einfallstore für Angriffe zu identifizieren. Durch den Einsatz Künstlicher Intelligenz (KI) können diese Informationen sogar noch effizienter gesammelt und verdichtet werden.
Interne Kommunikation: Missverständnisse als Sicherheitsrisiko
Ein zentraler Gedanke des Artikels ist, dass Organisationen aus Kommunikationsprozessen bestehen, und Kommunikation kein einfacher „Eins-zu-Eins“-Informationstransfer ist. Missverständnisse zwischen lebenden Systemen sind nicht nur möglich, sondern sogar wahrscheinlich. Dies zeigt sich beispielsweise bei der Umsetzung einer Passwortrichtlinie: Verstöße der Mitarbeiter sind nicht unbedingt auf Unwillen zurückzuführen, sondern können auch an Zeitmangel oder fehlendem Fachwissen liegen.
Um Informationssicherheit effektiv im Unternehmensalltag zu verankern, ist ein reibungsloser Austausch zwischen dem Informationssicherheitsteam und den Fachbereichen unerlässlich. Systemische Ansätze legen nahe, betroffene Organisationseinheiten aktiv an der Entwicklung von Sicherheitsmaßnahmen zu beteiligen. Dies führt nicht nur zu alltagstauglicheren Sicherheitsvorkehrungen, sondern erhöht auch die Wahrscheinlichkeit ihrer Umsetzung und sensibilisiert die Mitarbeiter nachhaltig für Informationssicherheitsaspekte. Das Management der Informationssicherheit ist somit eine gemeinsame Aufgabe aller Bereiche der Organisation, nicht nur des CISO oder Informationssicherheitsbeauftragten.
Externe Kommunikation: Versteckte Fallen und strategische Allianzen
Auch die externe Kommunikation birgt erhebliche Risiken:
- Unerwünschte Einladungen für Angreifer: Aussagen über finanzielle Rücklagen für Ransomware-Angriffe können auf kriminelle Hacker wie eine Einladung wirken.
- Gefährdete personenbezogene Daten: Personalisierte E-Mail-Adressen, insbesondere in Verbindung mit Fotos oder Firmenräumlichkeiten auf der Homepage, können für gezielte Social-Engineering-Angriffe oder sogar physische Angriffe missbraucht werden.
- Offenlegung der IT-Infrastruktur: Beratungsgesellschaften, die online mit erfolgreich abgeschlossenen IT-Projekten werben, können Hackern wertvolle Einblicke in die IT-Infrastruktur der Organisation ermöglichen.
- Mitarbeiterbewertungen als Informationsquelle: Plattformen wie kununu.com oder meinchef.de, auf denen Mitarbeiter anonym über ihre Arbeitgeber sprechen, können (unbeabsichtigt) Informationen über den Arbeitsplatz und die Organisationsstruktur preisgeben, die für kriminelle Angriffe nützlich sind.
Organisationen sollten daher Abteilungen, die im ständigen Kontakt mit dem Umfeld stehen (z. B. Öffentlichkeitsarbeit, Personalabteilung, Kundenservice, Marketing), darüber aufklären, worauf zu achten ist und warum bestimmte Informationen schaden können.
Gleichzeitig ist es essenziell, dass Unternehmen, Behörden und andere Organisationen sich verbünden, um sich vor Cyberbedrohungen zu schützen. Eine Zusammenarbeit mit öffentlichen Stellen (z. B. BSI) und privaten Organisationen ist unverzichtbar. Der Aufbau von Vertrauen und Beziehungen zu anderen nationalen und internationalen Organisationen und Staaten ist entscheidend, lange bevor IT-Sicherheitsvorfälle eintreten. Beispiele wie der Cyberangriff auf „Südwestfalen-IT“, bei dem Solidarität zwischen eigentlich im Wettbewerb stehenden Unternehmen gezeigt wurde, unterstreichen die Notwendigkeit dieser Unterstützung für das Gemeinwohl.
Fazit
Der sichere Einsatz von IT erfordert eine kontinuierliche Analyse und Anpassung von Sicherheitskonzepten sowie eine klare Cloud-Governance-Verantwortung und entsprechendes Handeln aller Akteure. Es ist von größter Wichtigkeit, sämtliche Kommunikationsprozesse einer Organisation aus der Perspektive der Informationssicherheit zu betrachten. Auch wenn es darum geht, verschiedene Ziele abzuwägen, ist das Bewusstsein für mögliche Spannungsfelder zwischen Informationssicherheit und anderen geschäftlichen Zielen entscheidend, um qualifizierte Entscheidungen treffen zu können.
