Cybersecurity und Homeoffice: Learnings aus der Krise
Zertifizierte Kompetenz, um Angriffe abzuwehren und Werte zu schützen auf der Basis von BSI/ISO. Darum geht es in 15 intensiven Tagen unseres Lehrgangs. Neben Risikoanalysen, Security Frameworks und einem Deep Dive in Cybersecurity-Technologien, schreiben unsere Absolventinnen und Absolventen einen Blogbeitrag. Dieser ist von Jonathan Heimlicher.
Prévenir vaut mieux que guérir – so heisst ein französisches Sprichwort. Frei übersetzt meint das, dass Firmen, die sich bereits im Vorfeld der aktuellen Corona-Krise mit möglichen geschäftsschädigenden Krisen auseinandergesetzt haben, nun einen grossen Vorteil gegenüber allen anderen haben. Besonders grosse Fantasie wird nicht benötigt, um sich vorstellen zu können, dass plötzlich die Arbeit im Büro nicht mehr möglich sein sollte. Ich kann von mir nicht behaupten, dass ich COVID-19 vorhergesehen habe, aber ein möglicher Brand, eine Überschwemmung oder gar ein Erdbeben würden unter Umständen das gewohnte Büro ebenfalls als unbetretbar zurücklassen. Und ebenfalls im Bereich des Möglichen liegt es ja, dass eine Firma auch aus Gründen der Work-Life-Balance ihren Mitarbeiterinnen und Mitarbeitern Telearbeit ermöglicht.
Nehmen wir also an, dass eine Firma bereits im Vorfeld der aktuellen Krise Telearbeit ermöglichte, wurde diese nun mit folgenden Benefits belohnt:
- Technische Schwierigkeiten konnten bereits eruiert und behoben werden
- Die Schulung der Mitarbeitenden konnte durchgeführt und regelmässig ergänzt werden
- Benötigte Installationen (Webcam, Dockingstation etc.) konnten im Lauf der Zeit durchgeführt werden
- Kostenpeaks gab es keine durch die längerfristige Implementation
Selbstverständlich sollten sich die Firmen – ganz im Sinn der einführenden Redewendung – auch bereits Gedanken zur Aufrechterhaltung der Informationssicherheit gemacht haben. Die ISO/IEC27001 Norm gibt da bereits einige Vorgaben, das Deutsche Bundesamt für Sicherheit in der Informationstechnik – kurz BSI – bietet da weitere hilfreiche Hinweise. So kann im sogenannten IT-Grundschutz-Kompendium (https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/itgrundschutzKompendium_node.html, abgerufen am 3. Mai 2020) in den Bausteinen „OPS.1.2.4 Telearbeit“, „NET.3.3 VPN“ oder „ORP.3 Sensibilisierung und Schulung“ relativ einfach nachgelesen werden, was in den entsprechenden Themengebieten beachtet werden muss, damit eine grundlegende Sicherheit gewährleistet werden kann.
Das Gelernte sammeln, auswerten und anwenden
Doch wie sagt man so schön: Nach der Schlacht ist jeder Soldat ein General. So ist gegen Ende der aktuellen Krise jedem klar, dass man etwas hätte tun sollen. Restlos alle Firmen, die das Ende der Corona-Krise er- und damit die Krise überleben, werden diese oben beschriebenen Punkte einfach in komprimierter Form nun auch gemacht haben. Wichtig ist jetzt aber, dass das Geschehene nicht einfach abgehakt wird, sondern dass das Gelernte gesammelt, ausgewertet und für die kommende Zeit angewandt wird. So könnten beispielsweise Prozess-, Applikations-, Infrastruktur- oder sonstige Owner ihre Gebiete mit den neuen Informationen ergänzen, sie verbessern oder sogar neu gestalten. Wichtig ist hier vor allem auch, dass die Sicherheit – falls nicht schon während der Krise so geschehen – immer wieder überprüft und verbessert wird. Auch sollen nun Prozesse, die in der Krisenzeit als legitim, respektive normal angeschaut wurden ebenfalls kritisch betrachtet werden, welche Sicherheitsmankos sich daraus ergeben und wie diese mitigiert werden könnten. Dabei sind die gesammelten Learnings nicht nur gute Inputs, sondern durch die tatsächliche Anwendung in der Krise auch getestet und können somit als tragfähige Inputs verstanden werden. Allen Mitarbeitenden ist klar, dass eine Krise tatsächlich vorkommen kann und mit oben beschriebener Vorbereitung – nun mit allen Learnings aus der Corona-Krise, kann eine erneute Krise – die durchaus ein völlig anderes Aussehen haben kann – viel besser vorbereitet werden. Denn nach der Krise ist vor der Krise.
Autor: Jonathan Heimlicher
CAS Cybersecurity und Information Risk Management
Beim nächsten CAS Cybersecurity und Information Risk Management dabei sein?
Persönliche Beratung
Sie würden sich gerne persönlich beraten lassen? Senden Sie ein E-Mail an martina.dallavecchia@fhnw.ch und vereinbaren Sie einen Termin.
Dozenten in diesem sehr praxisorientierten Lehrgang sind:
Martina Dalla Vecchia (FHNW, Programmleitung)
Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG)
Rainer Kessler (PwC)
Andreas Wisler (goSecurity GmbH)