So sind deine Informationen sicher! Ein Interview mit Marco Weis

Menü schließen

16. Mär 2023

Im ersten Teil dieses Interviews hat Marco Weis bereits auf die verschiedenen Gefahren für Informationen hingewiesen. Heute erfahrt ihr, was die Informationssicherheit in der BAUR-Gruppe macht, um Informationen zu schützen, aber auch was ihr selbst tun könnt, damit eure eigenen Informationen nicht in Gefahr sind!

Wie sorgst du gemeinsam mit deinen Kolleg*innen in der BAUR-IT dafür, dass Informationen sicher sind?

Hier müssen wir erst mal unterscheiden: Wir, von der Informationssicherheit, sind zwar in der IT angesiedelt, aber meine Position als Information Security Officer ist eine losgelöste Rolle, denn ich bin eine Stabsstelle, die eine etwas gesonderte Aufgabe hat. Die Aufgaben der IT selbst tragen natürlich wesentlich zum Schutz der Informationen bei. Das ist der Betrieb von Sicherheitstools wie Firewalls oder Antivirussoftware, aber auch beispielsweise die zentrale Softwareverteilung, mit der Updates verteilt werden. Wir prüfen in den Netzwerken unserer Bereiche und in unseren Systemen, welche Schwachstellen vorhanden sind und wo ein Update erforderlich ist, um diese zu beheben.

Zudem betreibt die IT die Netzwerkinfrastruktur, um Informationen hin und her schieben zu können und Back-up-Systeme, mithilfe derer Daten wieder hergestellt werden können, sollte etwas schieflaufen.

Losgelöst davon gibt es eben noch meine Stabstelle zusammen mit meiner Vertretung Monika. Für die BAUR-Gruppe Deutschland haben wir jeweils eine*n Ansprechpartner*in für Informationssicherheit (kurz: „AIS“) bei den Tochterunternehmen unserer Gruppe eingerichtet. Diese AIS fungieren als zentrale Kompetenzträger*innen für Informationssicherheit und als Schnittstelle. An dieser Stelle möchte ich mich auch einfach mal herzlichst bei meinen AIS und bei meiner Stellvertretung Moni bedanken!

Marco Weis (Information Security Officer)

Wir sind somit eine übergeordnete Instanz, die das große Ganze im Blick hat. Wir prüfen:

Welche Vorgaben für die BAUR-Gruppe überhaupt relevant sind und was brauchen wir, um unser Sicherheitsniveau zu erreichen?
Ob in den Bereichen im Unternehmen auch das greift, was wir verlangen. Andererseits werden auch wir immer wieder geprüft, so wollen z. B. Kund*innen wissen, wie wir die Informationssicherheit betreiben und ob Geschäftsinformationen sicher sind.

Bei uns ist kein Tag wie der andere, denn es gibt immer wieder etwas Neues und wir werden immer wieder mit neuen Themen oder Projekten konfrontiert, in die wir involviert sind. Also eine sehr umfangreiche und extrem spannende Tätigkeit!

Gibt es in der BAUR-Gruppe Maßnahmen oder Angebote, um Mitarbeiter*innen in Themen rund um die Informationssicherheit aufzuklären und weiterzubilden?

Als zentrale Schulungsmaßnahme haben wir unser eLearning, d.h. wir nutzen eine Plattform auf der wir pro Geschäftsjahr ein eLearning zur Verfügung stellen, welches grundsätzlich für alle Mitarbeiter*innen, v.a. im kaufmännischen Bereich, nutzbar ist. Für die vielen Mitarbeiter*innen in den gewerblichen Bereichen erstellen wir Handouts mit wichtigen Informationen, die wir regelmäßig verteilen. Eine andere Plattform stellt zudem Kurse zur Cybersicherheit zur Verfügung, die vor allem IT-Mitarbeiter*innen der BAUR-Gruppe nutzen können.

Neben diesen allgemeinen Angeboten bieten wir Individualschulungen für einzelne Fachbereiche oder Teams an. Wenn diese bei einem bestimmten Thema in Richtung Informationssicherheit Unterstützung brauchen, können wir so zielgruppenorientiert schulen.

Wir erstellen außerdem anlassbezogene Beiträge, in denen wir auf aktuelle Bedrohungslagen oder Schwachstellen hinweisen

Worauf sollte man denn nun unbedingt achten, um wichtige Informationen im beruflichen, wie auch im privaten Umfeld zu schützen?

Nachdem wir in Teil 1 schon gelernt haben, dass es eine große Palette an Bedrohungen gibt, gibt es auch viele Faktoren, bei denen man vorsichtig sein kann und sollte. Universell für alle Personen einsetzbar sind folgende Möglichkeiten:

Passwörter

Die meisten Menschen haben heutzutage beruflich und privat eine ganze Menge an Accounts, deren Zugänge unbedingt mit einem möglichst starken Passwort zu schützen sind.

Wie sieht ein starkes Passwort aus?

Ein starkes Passwort hat...

mindestens 8 Zeichen (je länger, desto besser)
Sonderzeichen
Groß- und Kleinbuchstaben
Ziffern

...in einer möglichst zufälligen Reihenfolge, sodass es für Hacker möglichst nicht nachvollziehbar ist.

Zu empfehlen ist, dass man sich einen Satz überlegt und von diesem Satz die Anfangsbuchstaben verwendet. Manche Buchstaben kann man zudem durch Ziffern oder Sonderzeichen ersetzen, z. B. wird so aus einem „E“ eine „3“.

Diese Vorgehensweise ist die gängige Empfehlung und funktioniert sehr gut.

2- Faktor-Authentisierung

Wo es möglich ist, sollte man eine Zwei-Faktor-Authentisierung bzw. eine Multi-Faktor-Authentisierung nutzen. Dabei wird z. B. ein Code angefordert, den man über eine separate App, einen Anruf oder per E-Mail erhält und bei der Anmeldung angeben muss. Solche Mechanismen bieten eine zusätzliche Hürde für Angreifer*innen, die sehr schwer zu überwinden ist, selbst wenn das Passwort irgendwo veröffentlicht wird.

Passwortmanager

Was kann man tun, um den Überblick über die vielen Passwörter zu behalten, ohne sie auf einem Zettel unter der Tastatur zu verstecken? Dafür gibt es inzwischen hilfreiche Passwortmanager, d. h. eine Software, die Passwörter verwaltet.

Solche Passwortmanager empfehlen sich sowohl beruflich als auch privat.

Passwörter grundsätzlich weder auf ein Post-it schreiben, noch am Telefon oder per E-Mail teilen! Auch hier wird immer wieder das Social Engineering angewendet, indem sich Angreifer*innen als IT-Administrator*innen ausgeben und nach dem Passwort fragen. Das ist jedoch völliger Unsinn, denn echte Admins oder auch unser Servicedesk bei der BAUR-Gruppe, würde nie nach dem persönlichen Passwort fragen! Wann immer jemand nach dem Passwort fragt, bitte gebt es niemals heraus, denn es gehört nur euch selbst und wird niemals geteilt!

E-Mail-Account

Besonders kritisch in Bezug auf Passwörter ist der E-Mail-Account. Online-Shops, soziale Netzwerke usw. werden meistens in Zusammenhang mit der eigenen E-Mail genutzt, sodass dieser Account oft der Knotenpunkt ist. Dementsprechend ist es ganz besonders wichtig, hier ein extrem starkes Passwort zu verwenden.

Mehrere E-Mail-Accounts

Es empfiehlt sich, mehrere E-Mail-Adressen anzulegen, die für verschiedene Anwendungszwecke verwendet werden. Der Klassiker ist eine oder mehrere seriöse Mailadressen und sogenannte „Wegwerf-E-Mail-Adressen“. Zweitere können genutzt werden, um einen Dienst zu testen, ohne Gefahr zu laufen, dass auf den seriösen E-Mail-Account durch Fremde zugegriffen werden kann. Zudem bitte nie dieselbe Mail-Adresse und dasselbe Passwort bei verschiedenen Accounts nutzen, denn sobald ein Account gehackt wird, können sich die Angreifer*innen mit diesen Zugangsdaten auch bei anderen Plattformen anmelden.

Links und Anhänge

Wie schon bei Phishing erklärt, werden Anhänge mit einem Schadcode in der E-Mail hinzufügt oder die Mails enthalten Links, welche auf Seiten führen, die Schadcodes auf das Smartphones oder den PC herunterladen. Hier muss man im Privaten wie im Beruflichen immer äußert vorsichtig sein. E-Mails sollten deshalb bewusst gelesen werden, indem man prüft

Was will der bzw. Absender*in von mir?
Ist mir der bzw. die Absender*in bekannt oder ist es eine fremde Person?
Passt das Thema zu meinem Aufgabengebiet und passt die Anfrage zum bzw. zur Absender*in?
Wie ist die Rechtschreibung und Grammatik?
Ist die persönliche Anrede richtig? Besonders in Unternehmen wie z. B. bei uns in der BAUR-Gruppe, wo wir uns alle untereinander mit „Du“ ansprechen, ist es besonders auffällig, wenn man von Kolleg*innen plötzlich mit „Sie“ angesprochen wird.

Surfen und Online-Shops

Bei Browsern sollte man immer auf die Verschlüsselung der verwendeten Website achten. Ob das der Fall ist, erkennt man gut daran, dass in der Browserzeile „https“ am Beginn der URL steht und/oder das Symbol mit dem Hängeschloss zu sehen ist. Beim Aufruf von unverschlüsselten Websites gibt es oft Hinweismeldungen, die auf die fehlende Verschlüsselung aufmerksam machen.

Insbesondere bei Webshops sollte man auf Gütesiegel achten. Es gibt spezielle Security-Siegel, die ein Online-Shop zum Nachweis der Sicherheitsanforderungen erhalten kann. Außerdem geben verschiedene Zahlungsmethoden oft einen Hinweis auf die Vertrauenswürdigkeit eines Online-Shops. Viele Fake Shops bieten vermeintlich viele Zahlungsmethoden an, beim Bestellvorgang selbst ist plötzlich nur noch Vorkasse o. Ä. möglich. Auch besonders lockende Preise, die sich sehr stark von anderen Angeboten abheben, sind oft ein Indiz für unseriöse Anbieter

Wie ihr euch sonst schützen könnt:

Antivirussoftware und Updates

Auf jedem Endgerät sollte eine Form von Antivirussoftware sein. Manche Betriebssysteme enthalten bereits Sicherheitsmechanismen, die grundlegend auf Viren prüfen. Besser ist dennoch die Installation einer Zusatzsoftware, welche regelmäßig aktualisiert wird. Auch das Betriebssystem auf PC, Smartphone und Co. sollte regelmäßig auf Updates geprüft werden, da mit diesen oft Schwachstellen geschlossen werden.

Externe Sicherung der Informationen

WLAN

Lieber Marco, vielen Dank für diese vielen wichtigen Einblicke in die Informationssicherheit. Wer noch mehr zu diesem Thema erfahren möchte, kann sich auf der Website des Bundesamts für Sicherheit in der Informationstechnik informieren.

0Noch keine Kommentare

Ihr Kommentar

Antwort auf: Direkt auf das Thema antworten

Autorin

Sabine Schiermeier

Ausbildung

Hallo und herzlich willkommen auf dem JobsBlog der BAUR-Gruppe! Ich heiße Sabine und schreibe als Werkstudentin im Team Personalmarketing regelmäßig Blogbeiträge für euch.

Viel Spaß beim Lesen!

Personal

09572 / 91 - 3109 E-Mail

Neueste Beiträge

Gemütliche Aktivitäten für kalte Tage

Wenn die Tage kürzer werden und die Temperaturen sinken, ist es an der Zeit, es sich drinnen so richtig gemütlich zu machen, ob im Büro oder zuhause. Der Winter bietet die perfekte Gelegenheit, kreativ zu werden und neue Wege zu finden, Wärme und Gemütlichkeit in unser Zuhause zu bringen. Mit diesen inspirierenden Aktivitäten kannst du die Wintermonate genießen und für jede Menge Abwechslung sorgen.
Was macht die Friedrich-Baur-Stiftung eigentlich?

Entdecke die Friedrich-Baur-Stiftung – ein bedeutender Förderer im Bereich Kultur und Wissenschaft. Seit vielen Jahren unterstützt die Stiftung eine breite Palette an Projekten in Kunst, Wissenschaft und Sozialem durch ein vielfältiges Programm. Sie bietet jungen Talenten Unterstützung und fördert innovative Ideen. In diesem Beitrag erfährst Du, wie genau die Stiftung die Kultur- und Wissenschaftsszene nachhaltig prägt.
Geisterwelten: Faszinierende Einblicke und Geheimnisse des Übernatürlichen

Halloween, das Fest der Schatten und des Schabernacks, bietet die perfekte Kulisse, um in die faszinierende Welt der Geister einzutauchen. Diese geheimnisvollen Wesen, die zwischen unserer Welt und dem Jenseits schweben, sind der Stoff, aus dem Legenden gemacht sind.