Jobs Karriere

So sind deine Informationen sicher! Ein Interview mit Marco Weis

16. Mär 2023

So sind deine Informationen sicher! Ein Interview mit Marco Weis
So sind deine Informationen sicher! Ein Interview mit Marco Weis

Im ersten Teil dieses Interviews hat Marco Weis bereits auf die verschiedenen Gefahren für Informationen hingewiesen. Heute erfahrt ihr, was die Informationssicherheit in der BAUR-Gruppe macht, um Informationen zu schützen, aber auch was ihr selbst tun könnt, damit eure eigenen Informationen nicht in Gefahr sind!

Wie sorgst du gemeinsam mit deinen Kolleg*innen in der BAUR-IT dafür, dass Informationen sicher sind?

Hier müssen wir erst mal unterscheiden: Wir, von der Informationssicherheit, sind zwar in der IT angesiedelt, aber meine Position als Information Security Officer ist eine losgelöste Rolle, denn ich bin eine Stabsstelle, die eine etwas gesonderte Aufgabe hat. Die Aufgaben der IT selbst tragen natürlich wesentlich zum Schutz der Informationen bei. Das ist der Betrieb von Sicherheitstools wie Firewalls oder Antivirussoftware, aber auch beispielsweise die zentrale Softwareverteilung, mit der Updates verteilt werden. Wir prüfen in den Netzwerken unserer Bereiche und in unseren Systemen, welche Schwachstellen vorhanden sind und wo ein Update erforderlich ist, um diese zu beheben.

Zudem betreibt die IT die Netzwerkinfrastruktur, um Informationen hin und her schieben zu können und Back-up-Systeme, mithilfe derer Daten wieder hergestellt werden können, sollte etwas schieflaufen.

Losgelöst davon gibt es eben noch meine Stabstelle zusammen mit meiner Vertretung Monika. Für die BAUR-Gruppe Deutschland haben wir jeweils eine*n Ansprechpartner*in für Informationssicherheit (kurz: „AIS“) bei den Tochterunternehmen unserer Gruppe eingerichtet. Diese AIS fungieren als zentrale Kompetenzträger*innen für Informationssicherheit und als Schnittstelle. An dieser Stelle möchte ich mich auch einfach mal herzlichst bei meinen AIS und bei meiner Stellvertretung Moni bedanken!

Marco Weis (Information Security Officer)
Marco Weis (Information Security Officer)

Wir sind somit eine übergeordnete Instanz, die das große Ganze im Blick hat. Wir prüfen:

  • Welche Vorgaben für die BAUR-Gruppe überhaupt relevant sind und was brauchen wir, um unser Sicherheitsniveau zu erreichen?
  • Ob in den Bereichen im Unternehmen auch das greift, was wir verlangen. Andererseits werden auch wir immer wieder geprüft, so wollen z. B. Kund*innen wissen, wie wir die Informationssicherheit betreiben und ob Geschäftsinformationen sicher sind.

Bei uns ist kein Tag wie der andere, denn es gibt immer wieder etwas Neues und wir werden immer wieder mit neuen Themen oder Projekten konfrontiert, in die wir involviert sind. Also eine sehr umfangreiche und extrem spannende Tätigkeit!

Gibt es in der BAUR-Gruppe Maßnahmen oder Angebote, um Mitarbeiter*innen in Themen rund um die Informationssicherheit aufzuklären und weiterzubilden?

Als zentrale Schulungsmaßnahme haben wir unser eLearning, d.h. wir nutzen eine Plattform auf der wir pro Geschäftsjahr ein eLearning zur Verfügung stellen, welches grundsätzlich für alle Mitarbeiter*innen, v.a. im kaufmännischen Bereich, nutzbar ist. Für die vielen Mitarbeiter*innen in den gewerblichen Bereichen erstellen wir Handouts mit wichtigen Informationen, die wir regelmäßig verteilen. Eine andere Plattform stellt zudem Kurse zur Cybersicherheit zur Verfügung, die vor allem IT-Mitarbeiter*innen der BAUR-Gruppe nutzen können.

Neben diesen allgemeinen Angeboten bieten wir Individualschulungen für einzelne Fachbereiche oder Teams an. Wenn diese bei einem bestimmten Thema in Richtung Informationssicherheit Unterstützung brauchen, können wir so zielgruppenorientiert schulen.

Wir erstellen außerdem anlassbezogene Beiträge, in denen wir auf aktuelle Bedrohungslagen oder Schwachstellen hinweisen

Worauf sollte man denn nun unbedingt achten, um wichtige Informationen im beruflichen, wie auch im privaten Umfeld zu schützen?

Nachdem wir in Teil 1 schon gelernt haben, dass es eine große Palette an Bedrohungen gibt, gibt es auch viele Faktoren, bei denen man vorsichtig sein kann und sollte. Universell für alle Personen einsetzbar sind folgende Möglichkeiten:

Passwörter

Die meisten Menschen haben heutzutage beruflich und privat eine ganze Menge an Accounts, deren Zugänge unbedingt mit einem möglichst starken Passwort zu schützen sind.

Ein starkes Passwort hat...

    • mindestens 8 Zeichen (je länger, desto besser)
    • Sonderzeichen
    • Groß- und Kleinbuchstaben
    • Ziffern

...in einer möglichst zufälligen Reihenfolge, sodass es für Hacker möglichst nicht nachvollziehbar ist.

Zu empfehlen ist, dass man sich einen Satz überlegt und von diesem Satz die Anfangsbuchstaben verwendet. Manche Buchstaben kann man zudem durch Ziffern oder Sonderzeichen ersetzen, z. B. wird so aus einem „E“ eine „3“.

Diese Vorgehensweise ist die gängige Empfehlung und funktioniert sehr gut.

Wo es möglich ist, sollte man eine Zwei-Faktor-Authentisierung bzw. eine Multi-Faktor-Authentisierung nutzen. Dabei wird z. B. ein Code angefordert, den man über eine separate App, einen Anruf oder per E-Mail erhält und bei der Anmeldung angeben muss. Solche Mechanismen bieten eine zusätzliche Hürde für Angreifer*innen, die sehr schwer zu überwinden ist, selbst wenn das Passwort irgendwo veröffentlicht wird.

Was kann man tun, um den Überblick über die vielen Passwörter zu behalten, ohne sie auf einem Zettel unter der Tastatur zu verstecken? Dafür gibt es inzwischen hilfreiche Passwortmanager, d. h. eine Software, die Passwörter verwaltet.

Solche Passwortmanager empfehlen sich sowohl beruflich als auch privat.

Passwörter grundsätzlich weder auf ein Post-it schreiben, noch am Telefon oder per E-Mail teilen! Auch hier wird immer wieder das Social Engineering angewendet, indem sich Angreifer*innen als IT-Administrator*innen ausgeben und nach dem Passwort fragen. Das ist jedoch völliger Unsinn, denn echte Admins oder auch unser Servicedesk bei der BAUR-Gruppe, würde nie nach dem persönlichen Passwort fragen! Wann immer jemand nach dem Passwort fragt, bitte gebt es niemals heraus, denn es gehört nur euch selbst und wird niemals geteilt!

E-Mail-Account

Besonders kritisch in Bezug auf Passwörter ist der E-Mail-Account. Online-Shops, soziale Netzwerke usw. werden meistens in Zusammenhang mit der eigenen E-Mail genutzt, sodass dieser Account oft der Knotenpunkt ist. Dementsprechend ist es ganz besonders wichtig, hier ein extrem starkes Passwort zu verwenden.

Es empfiehlt sich, mehrere E-Mail-Adressen anzulegen, die für verschiedene Anwendungszwecke verwendet werden. Der Klassiker ist eine oder mehrere seriöse Mailadressen und sogenannte „Wegwerf-E-Mail-Adressen“. Zweitere können genutzt werden, um einen Dienst zu testen, ohne Gefahr zu laufen, dass auf den seriösen E-Mail-Account durch Fremde zugegriffen werden kann. Zudem bitte nie dieselbe Mail-Adresse und dasselbe Passwort bei verschiedenen Accounts nutzen, denn sobald ein Account gehackt wird, können sich die Angreifer*innen mit diesen Zugangsdaten auch bei anderen Plattformen anmelden.

Wie schon bei Phishing erklärt, werden Anhänge mit einem Schadcode in der E-Mail hinzufügt oder die Mails enthalten Links, welche auf Seiten führen, die Schadcodes auf das Smartphones oder den PC herunterladen. Hier muss man im Privaten wie im Beruflichen immer äußert vorsichtig sein. E-Mails sollten deshalb bewusst gelesen werden, indem man prüft

  1. Was will der bzw. Absender*in von mir?
  2. Ist mir der bzw. die Absender*in bekannt oder ist es eine fremde Person?
  3. Passt das Thema zu meinem Aufgabengebiet und passt die Anfrage zum bzw. zur Absender*in?
  4. Wie ist die Rechtschreibung und Grammatik?
  5. Ist die persönliche Anrede richtig? Besonders in Unternehmen wie z. B. bei uns in der BAUR-Gruppe, wo wir uns alle untereinander mit „Du“ ansprechen, ist es besonders auffällig, wenn man von Kolleg*innen plötzlich mit „Sie“ angesprochen wird.
Surfen und Online-Shops

Bei Browsern sollte man immer auf die Verschlüsselung der verwendeten Website achten. Ob das der Fall ist, erkennt man gut daran, dass in der Browserzeile „https“ am Beginn der URL steht und/oder das Symbol mit dem Hängeschloss zu sehen ist. Beim Aufruf von unverschlüsselten Websites gibt es oft Hinweismeldungen, die auf die fehlende Verschlüsselung aufmerksam machen.

Verschlüsselte Website
Verschlüsselte Website
Gütesiegel
Gütesiegel

Insbesondere bei Webshops sollte man auf Gütesiegel achten. Es gibt spezielle Security-Siegel, die ein Online-Shop zum Nachweis der Sicherheitsanforderungen erhalten kann. Außerdem geben verschiedene Zahlungsmethoden oft einen Hinweis auf die Vertrauenswürdigkeit eines Online-Shops. Viele Fake Shops bieten vermeintlich viele Zahlungsmethoden an, beim Bestellvorgang selbst ist plötzlich nur noch Vorkasse o. Ä. möglich. Auch besonders lockende Preise, die sich sehr stark von anderen Angeboten abheben, sind oft ein Indiz für unseriöse Anbieter

Wie ihr euch sonst schützen könnt:

Auf jedem Endgerät sollte eine Form von Antivirussoftware sein. Manche Betriebssysteme enthalten bereits Sicherheitsmechanismen, die grundlegend auf Viren prüfen. Besser ist dennoch die Installation einer Zusatzsoftware, welche regelmäßig aktualisiert wird. Auch das Betriebssystem auf PC, Smartphone und Co. sollte regelmäßig auf Updates geprüft werden, da mit diesen oft Schwachstellen geschlossen werden.

Besonders im privaten Umfeld sollte man eine externe Sicherung, z. B. in Form einer externen Festplatte oder auch einfach eines USB-Sticks nutzen. So sind die Informationen losgelöst vom Endgerät noch einmal gesichert, für den Fall, dass doch mal etwas schiefgeht.

Bei der Nutzung von Social Media gilt grundsätzlich gut zu überlegen, was man von sich preisgeben möchte. Außerdem empfiehlt sich ein privates Profil anzulegen, sodass man mehr Kontrolle darüber hat, wem man welche Inhalte zeigt.

Zu Hause sollte man möglichst darauf achten, ein sicheres WLAN zu benutzen. D.h. ein möglichst starkes Passwort verwenden.


Lieber Marco, vielen Dank für diese vielen wichtigen Einblicke in die Informationssicherheit. Wer noch mehr zu diesem Thema erfahren möchte, kann sich auf der Website des Bundesamts für Sicherheit in der Informationstechnik informieren.

0Noch keine Kommentare

Ihr Kommentar
Antwort auf:  Direkt auf das Thema antworten

Autorin

Sabine Schiermeier

Hallo und herzlich willkommen auf dem JobsBlog der BAUR-Gruppe! Ich heiße Sabine und schreibe als Werkstudentin im Team Personalmarketing regelmäßig Blogbeiträge für euch.

Viel Spaß beim Lesen!

Neueste Beiträge

We-Commerce. Seit 1925.
Entdecke deine Möglichkeiten in der BAUR-Gruppe
We-Commerce. Seit 1925.
Entdecke deine Möglichkeiten in der BAUR-Gruppe

Cookies erlauben?

Die BAUR-Gruppe und zwei Partner brauchen deine Einwilligung (Klick auf "OK") bei einzelnen Datennutzungen, um Informationen auf einem Gerät zu speichern und/oder abzurufen (IP-Adresse, Nutzer-ID, Browser-Informationen).
Die Datennutzung erfolgt für personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen sowie um Erkenntnisse über Zielgruppen und Produktentwicklungen zu gewinnen. Mehr Infos zur Einwilligung gibt’s jederzeit hier. Mit Klick auf den Link "Cookies ablehnen" kannst du deine Einwilligung jederzeit ablehnen.

Datennutzungen

Baur arbeitet mit Partnern zusammen, die von deinem Endgerät abgerufene Daten (Trackingdaten) auch zu eigenen Zwecken (z.B. Profilbildungen) / zu Zwecken Dritter verarbeiten. Vor diesem Hintergrund erfordert nicht nur die Erhebung der Trackingdaten, sondern auch deren Weiterverarbeitung durch diese Anbieter einer Einwilligung. Die Trackingdaten werden erst dann erhoben, wenn du auf den in dem Banner auf jobs.baur-gruppe.com wiedergebenden Button „OK” klickst. Bei den Partnern handelt es sich um die folgenden Unternehmen:
Google Inc. und Meta Platforms Ireland Limited.
Weitere Informationen zu den Datenverarbeitungen durch diese Partner findest du in der Datenschutzerklärung auf jobs.baur-gruppe.com. Die Informationen sind außerdem über einen Link in dem Banner abrufbar.