Datensicherheit im Projektmanagement 4.0 Digitaler PM-Assistent, schreib das Protokoll!
Vor kurzem stellte ich meinen Studierenden die Aufgabe, zu überlegen, wie sie sich "Projektmanagement 4.0" vorstellen. Eines der Teams hatte die Idee, für administrative Aufgaben digitale Assistenten einzusetzen, die lästige Dinge wie das Schreiben von Protokollen übernehmen sollten. Wäre ja ganz einfach, im Statusmeeting zum digitalen Sprachassistenten zu sagen "PM-Assistent, nimm das in die To-Do-Liste auf!" Na, dachte ich spontan, eigentlich eine gute Idee – doch ich hatte bei der Vorstellung ein ziemlich unbehagliches Gefühl, weil mir gleich mehrere Gefahren für die Datensicherheit einfielen.
Datensicherheit im Projektmanagement 4.0 Digitaler PM-Assistent, schreib das Protokoll!
Vor kurzem stellte ich meinen Studierenden die Aufgabe, zu überlegen, wie sie sich "Projektmanagement 4.0" vorstellen. Eines der Teams hatte die Idee, für administrative Aufgaben digitale Assistenten einzusetzen, die lästige Dinge wie das Schreiben von Protokollen übernehmen sollten. Wäre ja ganz einfach, im Statusmeeting zum digitalen Sprachassistenten zu sagen "PM-Assistent, nimm das in die To-Do-Liste auf!" Na, dachte ich spontan, eigentlich eine gute Idee – doch ich hatte bei der Vorstellung ein ziemlich unbehagliches Gefühl, weil mir gleich mehrere Gefahren für die Datensicherheit einfielen.
In der Diskussion über Datensicherheitsanforderungen eines derartigen digitalen PM-Assistenten zeigten sich die Studierenden jedoch durchaus der Gefahren bewusst, denen Unternehmensdaten ausgesetzt sind, wenn sie nicht gegen Zugriffe Dritter geschützt werden. Denn auch heute schon benötigen Projekte Sicherheitsvorkehrungen, um Spionage oder Datenklau zu verhindern.
Es mangelt oft am Bewusstsein über die Gefahren
Das Thema Informationssicherheit ist im privaten Umfeld offensichtlich nicht jedermanns Sache – was ich schon an der in meinem eigenen Umfeld weit verbreiteten, unbedachten Freigabe persönlicher Daten in Whatsapp, Instagram & Co. erkennen kann. Im Projekt dagegen kann ein fehlendes Risikobewusstsein in dieser Thematik betriebswirtschaftlich und rechtlich fatale Folgen haben – denn insbesondere in Projekten arbeiten verteilte Teams zusammen; es gibt gemeinsame Portale zur Datenhaltung und ein stetiger Informationsaustauch ist selbstverständlich. Eine ideale Spielwiese also für die "Industriespionage 4.0", die eine ernstzunehmende Begleiterscheinung der Digitalisierung darstellt.
Die c’t Security nennt in der Ausgabe 2018 prominente Datendiebstähle (wie etwa bei Dropbox oder LinkedIn) als Ursache dafür, dass Passworte und Identitäten von vermutlich Milliarden Benutzerkonten schon längst in den Händen von Kriminellen sind, die sich damit den Zutritt in andere Netzwerke erschleichen können. Firmen und Behörden sind stärker als je zuvor Zielscheiben von direkten Angriffen zum Datendiebstahl oder etwa auch zur Erpressung.
Dieser Situation sollten sich alle Unternehmen bewusst sein, die im Rahmen von Projektarbeit beispielsweise einen Teil ihrer Wertschöpfung erzielen, Innovationen entwickeln oder gemeinsam mit Kunden Produktentwicklungen vorantreiben. Ohne die tatsächlichen Gefährdungen der internen Daten zu verstehen, ist ein Schutz gegen Datendiebe oder Industriespione kaum möglich.
Projektdaten schützen: Sicherheit auf zwei Säulen
Die Mechanismen zum Schutz unternehmensinterner Projektdaten nehmen grundsätzlich zwei verschiedene Kategorien von Schwachstellen unter die Lupe: technische und menschliche bzw. prozessuale. Zum einen sichern sie die verwendete Hardware, Software oder die Netze ab, etwa durch Verschlüsselungen, Firewalls, regelmäßige Datensicherungen etc. Zum anderen fokussieren sie sich auf Administration bzw. Organisation, durchleuchten Prozesse und Vorgehensweisen und sichern diese ebenfalls ab – beispielsweise durch Reglementierungen für Passwortschutz, Authentifizierung und andere Maßnahmen.
Die Technik ist dabei erfahrungsgemäß die offensichtlichere Baustelle – diese abzusichern reicht jedoch definitiv nicht aus! Denn eine gefühlte Sicherheit in Anbetracht eines hohen Einsatzes von Sicherheitstechnik kann sehr trügerisch sein: Dies zeigen etliche Fälle, in denen Forensiker die Ursachen von Datendiebstählen analysierten: Häufig wurden Personen gezielt anhand von Social Engineering ausgespäht und manipuliert, um Sicherheitsauflagen zu umgehen – oder es wurde einfach ihre Unachtsamkeit in Bezug auf IT-Sicherheit ausgenutzt.
Eine Schulung und Sensibilisierung der Menschen, die in Projekten arbeiten, ist daher die halbe Miete der Informationssicherheit. Unterstützung dabei, wie die eigenen Daten systematisch und sinnvoll vor den Gefährdungen geschützt werden können, erhalten KMUs z.B. beim Bayerischen IT-Sicherheitscluster – als Einstieg kann etwa eine erste Informationssicherheitsanalyse dienen. Großen Unternehmen empfehle ich einen Besuch der Homepage des Bundesamts für Sicherheit in der Informationstechnik (BSI), das hier Empfehlungen und Infomaterial zur Informationssicherheit präsentiert.
Das richtige Maß finden: zwischen laissez faire und Gängelung
Zu lasche Sicherheitsmaßnahmen, wie die Erlaubnis, öffentliche WLANs in Hotels zu nutzen oder private Korrespondenz über den Mailaccount der Firma zu führen, können einer gezielten Industriespionage Tür und Tor öffnen.
Doch auch werden Projektteams zu harte, restriktive Sicherheitsmaßnahmen auferlegt werden, geht das häufig nach hinten los – wenn etwa Praktiker sich kreative Umwege überlegen und Daten über den privaten Mailaccount versenden, um die lästigen Sicherheitsauflagen " schnell mal" zu umgehen. Sind Passworte zu kryptisch und müssen darüber hinaus in kurzen Abständen geändert werden, führt dies zu den typischen Merkzetteln im Büro, die gelegentlich auch schön im Papierkorb zu finden sind.
Also dann, her mit digitalen PM-Assistent!?!
Ein informationstechnisch "sicherer" digitaler Assistent könnte – in welcher Form auch immer – aus meiner Sicht durchaus hilfreich im Projekt sein – warum nicht? Ich lasse mich jedenfalls gerne überraschen, was uns im Projektmanagement 4.0 noch erwarten wird; auch wenn ich gestehen muss, dass ich lieber mit Menschen als mit Maschinen spreche. Ich bin eben kein "Digital Native".
{node/1126974}
Klaus Schopka
18.06.2018
Klaus Schopka
18.06.2018