IT-Security
Diese Mitarbeiter gefährden Ihre Sicherheit
Florian Maier beschäftigt sich mit diversen Themen rund um Technologie und Management.
Hacks, Scams und sonstiger Sicherheitsvorfälle sind ein dauerndes und mitunter teueres Ärgernis für Unternehmen. Dabei sind sich viele Untersuchungen zum Thema einig: Das Gros der Bedrohungen kommt von Innen.
Foto: Ollyy - shutterstock.com
Der verschwiegene Hackerangriff
Viel schlimmer noch ist allerdings, dass viele Unternehmen von den Sicherheitsvorfällen, die durch Innentäter verursacht werden gar nichts mitbekommen. In 40 Prozent aller Unternehmen weltweit haben Mitarbeiter schon einmal Vorfälle mit IT-Security-Bezug unter den Teppich gekehrt. Zu diesem Ergebnis kommt eine Studie von Kaspersky Lab und B2B International, die zu diesem Thema Mitarbeiter aus 5000 Unternehmen aus aller Welt befragt haben.
Trotzdem ist den Firmen das erhöhte Sicherheitsrisiko durch die eigenen Mitarbeiter durchaus bewusst: Mehr als die Hälfte aller Unternehmen (52 Prozent) glaubt fest daran, dass die eigene Belegschaft den größten Security-Schwachpunkt darstellt. Dabei sind es in der Regel nicht einmal böse Absichten, die Mitarbeiter dazu bringen, die IT-Sicherheit mit Füßen zu treten.
Nachlässigkeit und Unwissenheit von Mitarbeitern stellen die größten Risiken im Business-Umfeld dar, wenn es um zielgerichtete Attacken geht. Der Studie zufolge sind 28 Prozent aller Cyberangriffe auf Phishing und Social Engineering zurückzuführen, weitere 30 Prozent entfallen auf Exploits und den Verlust von mobilen Endgeräten. Laut Kaspersky waren im vergangenen Jahr 46 Prozent aller Cybersecurity-Vorkommnisse auf uninformierte oder nachlässige Mitarbeiter zurückzuführen.
Foto: Kaspersky Lab
Als Hauptprobleme identifiziert die Studie von Kaspersky und B2B das Verschweigen von Sicherheitsvorfällen und die unautorisierte Nutzung von mobilen Endgeräten im Firmennetzwerk. Insbesondere erstgenannter Fall kann zu weiteren Konsequenzen führen, denn es besteht die Möglichkeit, dass weiterer Schaden entsteht. Versucht etwa ein Mitarbeiter selbstständig, die gerade eingefangene Ransomware auf dem Firmenrechner dadurch zu besiegen, dass er einfach das Lösegeld zahlt, ist noch lange nicht sichergestellt, dass das System danach komplett bereinigt ist.
Die Malware könnte weiterhin aktiv sein und sich auch auf andere Rechner ausbreiten. Die Studienmacher mahnen daher die Unternehmen, das Problem des "Unter-den-Teppich-Kehrens" offen anzusprechen - und zwar nicht nur bei den Mitarbeitern, sondern auch in Management- und HR-Kreisen. Schließlich müsse es ja einen Grund für das Verschweigen geben. Dieser könne etwa in einem Klima der Angst liegen.
Die Nutzung von mobilen Endgeräten im Unternehmensnetzwerk sorgt weiterhin für Kopfschmerzen: Immer noch ist laut der Studie jedes dritte Unternehmen weltweit besorgt über die Thematik "Bring your own device" (ByoD). Hierbei spielt auch der mögliche Verlust von mobilen Devices eine Rolle. Laut Studie sind mehr als die Hälfte aller Sicherheitsvorfälle bei den befragten Unternehmen auf den Verlust eines solchen Geräts zurückzuführen.
Sorgen bereitet den Unternehmen aber auch, dass es bei ByoD im Wesentlichen an den Mitarbeitern selbst liegt, verantwortungsvoll und im Sinne der Security-Policy mit Unternehmensdaten umzugehen. Das wiederum scheint leider alles andere als selbstverständlich: 44 Prozent der befragten Firmen gab an, dass die Mitarbeiter den Sicherheits-Richtlinien nicht Folge leisten.
- Bestimmen Sie Metriken
Seien Sie in der Lage, den Erfolg Ihrer Bemühungen zu belegen. Das können Sie nur, wenn Sie Kennzahlen definieren, bevor Sie Ihr Awareness-Programm beginnen. Möglich sind Fragebögen zum Verhalten in bestimmten Situationen oder Phishing-Simulationswerkzeuge, die einen Angriff vor und einen nach den Trainigsmaßnahmen nachstellen. Ebenfalls lassen sich durch Mitarbeiter ausgelöste Incidents zählen - wie versuchte Besuche gesperrter Websites. - Bleiben Sie flexibel
Konzentrieren Sie sich nicht nur auf die Präventionsarbeit. Die Idee der "menschlichen Firewall" ist weit verbreitet, sie kommt aber erst dann zum Einsatz, wenn ein Angriff erfolgt. Warum nicht auch auf "menschliche Sensoren" setzen und bevorstehende Attacken versuchen zu erkennen? Lassen Sie Ihre Angestellten nach Indikatoren Ausschau halten, die einen möglichen Angriff ankündigen. Wenn Phishing-Simulationen stattfinden, sollte man auch darauf achten, wie viele Testteilnehmer den Angriff erkennen und melden. - Lassen Sie Regeln brechen
Wer sich nicht an Security-Regeln hält, kann seine eigene Security-Awareness steigern. Das Unternehmen sollte seinen Mitarbeitern ab und zu - nicht regelmäßig, damit es nicht zur Gewohnheit wird - die Freiheit geben, bestimmte Sicherheitsregeln zu brechen - aber nur solche, die keinen unmittelbaren Schaden anrichten. Nur wenn sie die Regel brechen, können die Mitarbeiter erkennen, was passiert, wenn die Regel gebrochen wird und warum es sie letztlich gibt. In einem Gespräch zwischen IT-Sicherheitsteam und Mitarbeitern lässt sich dann gemeinschaftlich nachvollziehen, welchen Zweck eine bestimmte Richtlinie verfolgt. - Wählen Sie einen neuen Ansatz
Die meisten Awareness-Programme haben nicht dazu geführt, dass die Mitarbeiter ihr Verhalten geändert haben. Das liegt nach Meinung vieler Experten aber daran, dass sie gar nicht darauf ausgelegt waren, das Verhalten zu ändern - sie sollten einfach nur geltende Compliance-Vorgaben erfüllen. Also wurde wenig in diese Trainings investiert - sowohl finanziell als auch inhaltlich. Nur, wer Gehirnschmalz in die inhaltliche Ausgestaltung seiner Securiy-Trainings steckt, kann das Mitareiterverhalten ändern. - Holen Sie sich Unterstützung vom C-Level
Wer die Unterstützung der Entscheiderebene hat, macht seine Security-Trainigs erfolgreicher. Wer ein Awareness-Programm plant, sollte sich zunächst starke Unterstützung von oben holen - und sei es nur mit Worten. Das führt zwangsläufig zu einer größeren Aufmerksamkeit in der Belegschaft, mehr Freiraum in der Ausgestaltung und Unterstützung anderer Abteilungen. - Machen Sie gemeinsame Sache mit anderen Abteilungen
Wenn ein IT-Security-Mitarbeiter ein Awareness-Trainingsprogramm aufsetzt, sollte er neben dem Vorstand auch andere Fachbereiche mit ins Boot holen - Personal, Marketing, Legal, Compliance, Datenschutzbeauftragter und Hausverwaltung. All diese Abteilungen haben ein direktes oder indirektes Interesse an dem Thema Security und können bei der Werbung und der Finanzierung helfen. Außerdem haben sie die Möglichkeit, die Trainings für die Mitarbeiter verpflichtend zu machen. - Seien Sie kreativ
Wer nicht kreativ ist, kann kein gutes Security-Training anbieten. Dazu könnte beispielsweise gehören, im Rahmen einer Firmenfeier im Eingangsbereich des Gebäudes eine Security-Wand aufzubauen, auf der - neben anderen Dingen - zehn gängige Sicherheitsfehler aufgeführt sind. Die Mitarbeiter, die alle zehn Fehler benennen können, nehmen an einer Verlosung teil. - Setzen Sie sinnvolle Zeitfenster
Die meisten Trainingsprogramme laufen über ein Jahr - jeder Monat steht unter einem bestimmten Thema. Besser ist ein 90-Tage-Plan - dadurch werden Inhalte und Ziele jedes Quartal neu auf den Prüfstand gestellt. So sind viele Programme deshalb erfolgreich, weil sie über ein Vierteljahr hinweg jeweils drei Themen parallel behandeln und die Themen dann wieder neu ausgesucht werden. So bleiben Sie auf dem Laufenden. - Wählen Sie einen multimedialen Ansatz
Jeder Mitarbeiter bringt andere Voraussetzungen mit, was IT-Sicherheit angeht. Jede/r möchte anders abgeholt werden. Setzen Sie daher auf verschiedenste Kommunikationskanäle, um für das Thema IT-Sicherheit zu sensibilisieren - beispielsweise über Newsletter, Poster, Spiele, Newsfeeds, Blogs, Phishing-Simulationen etc.
Die gute Nachricht: Die Mehrheit der befragten Unternehmen will tätig werden. In erster Linie durch die Einführung neuer Security-Softwarelösungen (43 Prozent), doch auch die Weiterbildung über Trainings und Awareness-Programme steht hoch im Kurs (35 Prozent).