Thomas Mandl bietet den Blick von außen auf die Informationssicherheit und Prozesse in Unternehmen. Der »Cyber Defense Consulting Expert« empfiehlt die Schulung von IT-Grundlagenwissen für alle Mitarbeiter und räumt mit einem Missverständnis bei »Identity and Access Management (IAM)« auf.

Thomas Mandl ist seit vielen Jahren in der IT- und Security-Branche tätig – unter anderem als Chief Technology Officer bei dem österreichischen Sicherheitsexperten Ikarus Security Software. Heute berät er Unternehmen bei Fragen zu IT- und Informationssicherheit und teilt sein Wissen auch an der Donauuniversität Krems und Fachhochschulen. Die Kunden im Consultingbereich sind Unternehmen aller Größen – von kleinen Firmen angefangen bis zu Betreibern kritischer Infrastruktur.

Warum setzen Unternehmen auf die Expertise von Mandls Cyber Defense Consulting Experts? »Mit dem Blick von außen hat man eine andere Sicht und kann wertvolles Feedback geben. Dann gibt es Aufgabengebiete wie Audits, die den Einsatz Externer unbedingt erfordern«, erklärt Mandl. Zudem würden Themen wie Incident Response – wie auf einen Sicherheitsvorfall reagiert wird und welche Schlüsse daraus für die künftige Sicherheitsstrategie gezogen werden – eine klare Sicht fern jeglicher Betriebsblindheit benötigen.

»Die meisten IT-Abteilungen haben die vorrangige Aufgabe, den Betrieb aufrecht zu halten. Security ist aber ein Full-Time-Job, der viel Know-how benötigt. Externe Spezialisten können da die IT punktuell unterstützen.«

Der Niederösterreicher sieht als wichtigen Faktor auch Erfahrung. »Das ist wie bei der Ersten Hilfe. Wenn man darin nicht ausgebildet ist, kann man auch viel kaputt machen. Wir treffen häufig auf einen Fleckerlteppich an Sicherheitslösungen in den Unternehmen. Die Lösungen spielen nicht immer ideal zusammen.«

Vieles in der Informationssicherheit hat mit Wissen zu tun – davon ist kein Mitarbeiter in Unternehmen ausgenommen. Bei vielen aber fehle Grundlagenwissen und auch die Awareness, um Betrugsabsichten und Phishing-Mails überhaupt erkennen zu können. »Die oft gehörte Anweisung, einfach keine Mails von unbekannten Absendern zu öffnen – das ist mittlerweile realitätsfern und für die täglich Arbeit nicht zu gebrauchen«, sagt Mandl.

Er sieht vielmehr IT-Grundwissen als Basis für eine »IT-Mündigkeit«– etwas, das erlernbar ist. »Viele kennen nicht einmal die wichtigsten Grundbegriffe – wie man eine Mailadresse liest oder ob ein Link in einem Mail plausibel auch zum Absender passt.« Unternehmen sollten deshalb auf Schulungen setzen. »Ich beobachte, dass viele an IT-Wissen interessiert sind – es wurde ihn bisher einfach nicht angeboten«, berichtet er. Die IT sei zwar eines von vielen Themen und gehe oft im Tagesgeschäft unter. Doch bei Sicherheitsfragen geht es um die Überlebensfähigkeit des Unternehmens.

Abstimmung notwendig

Ein Risiko für die Datensicherheit ist oft auch das eher nachlässig betriebene Berechtigungsmanagement. Je mehr Zugriffsrechte Anwender auf Daten in den Netzwerklaufwerken haben, umso einfacher hat es Ransomware, maximalen Schaden anzurichten. Mit Identity and Access Management – im Fachbegriff IAM – werden Zugriffsberechtigungen beginnend beim Onboarding eines Mitarbeiters bis zum Wechsel in andere Abteilungen oder dem Ausscheiden aus dem Unternehmen gesteuert.

IAM-Lösungen helfen der IT beim automatisierten Ausrollen von restriktiven Berechtigungen bei Mitarbeitern und der Dokumentation von Zugriffsrechten und der Freigabeprozesse. Mitunter herrscht hier aber ein großes Missverständnis, sagt Mandl. Die IT-Abteilung würde zwar IAM-Systeme einrichten und betreiben, den zuständigen Geschäftsbereichen aber sollte das Management der erforderlichen Berechtigungen obliegen – wer etwa auf welche Daten zugreifen darf.

Das kann die IT nicht für die Geschäftsbereiche entscheiden, denn das exakte Wissen über die Aufgaben und Rollen der Mitarbeiter – und den damit verbundenen Zugriffsberechtigungen – hat nur der jeweilige Geschäftsbereich. Das ist keineswegs eine triviale Aufgabe. Es gilt, präzise zu überlegen und den Überblick über die Teams zu behalten. Weniger die Technik, sondern Organisation und Prozesse spielen hier eine Rolle.

Der Spezialist empfiehlt daher auch eine enge Abstimmung zwischen der IT und beispielsweise der Personalabteilung, Letztere weiß in der Regel ein paar Tage vorher, ob ein Wechsel innerhalb des Unternehmens ansteht oder Mitarbeiter ausscheiden und sollte relevante Informationen dazu rechtzeitig an den IAM-Betreuer weiterleiten. Die Geschichten, in denen Ex-Beschäftige noch Monate später Zugriff auf sensible Systeme hatten, sind legendär.