Anzeige
Anzeige
Anzeige
Anzeige
IT IT-Security Sicherheit

Wie selbst der faulste Mitarbeiter nicht zur Sicherheitslücke werden kann

Das größte Problem sitzt vor dem Rechner und der IT-Verantwortliche steht sowieso schon mit einem Bein im Gefängnis: Was Sicherheitslücken in Unternehmen angeht, herrschen auch im Jahr 2019 noch besorgniserregende Zustände. Neben überforderten IT-Sicherheitsteams und fehlenden Budgets sind vor allem wenig informierte Mitarbeiter eine der größten Herausforderungen. Zumindest gegen letzteres kann etwas getan werden.

Wie Mitarbeiter zu mehr Verantwortlichkeit im Umgang mit Daten und Devices sensibilisiert werden (Bild: iStock)
Anzeige
Anzeige
Anzeige

Hacks, Scams, Phishing, Social Engineering – die Cybergefahren für Unternehmen wachsen jeden Tag und wenn die Verantwortlichen der firmeninternen Sicherheitsteams nachts weiterhin tief schlafen können, dürfte das wohl eher an ihrer ausgeprägten Arbeitsbelastung liegen als an ihrer Tiefenentspannung. Mitverantwortlich für die steigende Cybercrime-Bedrohung in Unternehmen sind Sicherheitsexperten zufolge die Mitarbeiter – und zwar nicht nur die befristeten oder bereits ausgeschiedenen Kollegen, sondern vor allem die aktuellen. Die, die gar keinen Groll gegen das Unternehmen hegen, dafür aber desinteressiert oder bequem genug sind, um sich gängigen Sicherheitsrichtlinien zu entziehen.

Aus bösem Willen? Nicht unbedingt: Der Application Intelligence Report (AIR) untersucht den Umgang mit Apps und die Sicherheitsauswirkungen unter anderem für Unternehmen und die IT-Abteilungen. Der Studie zufolge, deren zweiter Teil im Januar 2018 erschien, nutzen fast ein Drittel der befragten Mitarbeiter wissentlich nicht autorisierte Applikationen – davon die Hälfte, „weil jeder das macht“, während ein weiteres Drittel der Ansicht ist, dass die IT-Abteilung kein Recht dazu hat zu bestimmen, welche Apps sie nutzen dürften.

Anzeige

Fehlende Einsicht, Desinteresse, aber natürlich auch mangelndes Wissen und Verständnis zum Beispiel darüber, warum eine pauschale Erlaubnis zu „Bring your own device“ jede IT-Führungskraft panisch schlucken lässt: Erst wenn der Mitarbeiter zu mehr Verantwortlichkeit im Umgang mit Daten und Devices sensibilisiert werden kann, greifen auch die anderen Hebel, die die Sicherheitsteams der IT-Abteilungen anfassen müssen.

Schritt 1: Schwachstellenmanagement

Apropos Sicherheitsteam: Die Bildung eines solchen Core-Teams innerhalb der IT-Abteilungen sowie die Aufstockung der Budgets für mehr Cybersecurity im Unternehmen sind natürlich die Basis allen weiteren Tuns. Dieses Team muss im ersten Schritt ein Schwachstellenmanagement initiieren und Prozesse zu einer verbesserten IT-Sicherheitsarchitektur implementieren, die hinsichtlich aktueller Risiken permanent aktualisiert wird. Dazu gehört das kleine Einmaleins wie ein passender Antiviren-Schutz oder cloudbasierte Schutzprogramme und stets aktuelle Versionen der verwendeten Softwares ebenso wie ein adäquates Konto-Management. Vor allem aber muss es eine Sicherheitsphilosophie entwickeln und dieses auch im Denken des letzten gelangweilten Mitarbeiters verankern.

Schritt 2: Awareness-Kampagnen und Schulungen

Welche Risiken gibt es und welche psychologischen Methoden haben Cyber-Angreifer? Warum kann ich nicht einfach Daten per ungeschützter Dropbox verschicken und könnte auf dem USB-Stick vom Kunden wirklich eine Gefahr lauern?

Awareness-Kampagnen und Schulungen, ob von intern oder extern geleitet, müssen vor allem eines sein: auf die Bedürfnisse des Unternehmens, bestenfalls sogar der Abteilung zugeschnitten. Vorgefertigte Multiple-Choice-Tests und generelle Verbote, die das alltägliche Arbeiten erschweren oder gar unmöglich machen? So werden Mitarbeiter nicht zum sicherheitsbewussten Umgang mit Daten und Devices motiviert.

Stattdessen lohnt es sich besonders bei stark spezialisierten Abteilungen, wenn der Sicherheitsbeauftragte auch einmal persönlich vorbeikommt und die Abläufe beobachtet – und daraufhin "sichere" Varianten evaluiert. Vielleicht ergibt sich daraus sogar ein persönlicher Nutzen für den Mitarbeiter, der so eine neue, noch bessere Applikation kennen lernt, mit der die Arbeit noch leichter von der Hand geht.

Klar muss sein: Die Security-Schulung ist Pflicht für alle Mitarbeiter, vom Praktikanten bis zum CEO (viele Scams sind übrigens gezielt auf das sogenannte C-Level ausgerichtet). Jeder Kollege sollte in ein generelles und ein auf seinen Arbeitsbereich zugeschnittenes IT-Sicherheitskonzept eingebunden sein und durch regelmäßige Präventionsschulungen unterstützt werden.

Wer beim Begriff Präventionsschulung schon anfängt zu gähnen, ist vielleicht bei einer Live-Hacking-Session besser aufgehoben: In diesen Workshops zum Beispiel zum Thema Social Engineering werden praxisnahe Szenarien durchgespielt, wie sie in der Abteilung vorkommen könnten. Verbunden sollten diese Szenarien selbstverständlich immer mit einer Handlungsempfehlung sein, damit sich der Mitarbeiter im Ernstfall tatsächlich zu helfen weiß. Auch sogenannte Penetrationstests können (im Zweifel in Absprache mit dem Betriebsrat) durchgeführt werden, mit denen der IT-Verantwortliche stichprobenartig unangekündigt prüft, wie Mitarbeiter auf mögliche Cyber-Angriffe reagieren.

Ctab Cover Contentbild
Die Zukunft des Arbeitens!

Jeder ist ersetzbar. Oder doch nicht? Unternehmen müssen umdenken. Das LEAD Bookazine 1/2019 zeigt Cases für erfolgreiches Employer-Branding und wie Karrierenetzwerke dabei helfen, beruflich gesehen zu werden. Außerdem im Heft: eine Anleitung für erfolgreiches SEO und die Wahl des richtigen Influencers.

Schritt 3: Sicherheitsrichtlinien

Vor allem verständlich, kurz und präzise müssen die Richtlinien zur Cyber-Sicherheit im Unternehmen sein, die jedem Mitarbeiter in schriftlicher wie auch digitaler Form vorliegen sollten. Nicht zu verwechseln sollten diese Richtlinien mit unabänderlichen Vorschriften und Prozessen sein, mit denen der Mitarbeiter zusätzlich in automatisierter Form konfrontiert werden kann (z.b. regelmäßige Passwortänderungen, Freigabeberechtigungen bei Ausscheiden eines Mitarbeiters, Netzwerkzugriffe und dergleichen). Auch hier gilt: lieber weniger, aber dem konkreten Arbeitsplatz angemessene Richtlinien als ein dicker Katalog, den sowieso niemand liest.

Rund 59 Prozent der im Rahmen des Application Intelligence Reports befragten IT-Führungskräfte waren 2018 übrigens wenig optimistisch, dass sie Gefahren stoppen und ihr Unternehmen schützen könnten. Eine Aufstockung der Budgets wie auch der personellen Ressourcen im IT-Sicherheitsbereich könnten hier den Ausschlag geben, um das Ruder für mehr Sicherheit im Unternehmen herumzureißen: Denn nur wenn der Sicherheitsbeauftragte von seinem Auftrag (und deren Durchführung) überzeugt ist, kann der Funke auch auf den letzten gelangweilten Mitarbeiter überspringen.

Newsletter & Messenger

Mit dem LEAD Newsletter und dem LEAD Tech Newsletter immer top informiert zu allen Themen des digitalen Lebens. Egal ob beruflich oder privat. In deiner Inbox oder per Messenger.

Anzeige
Anzeige
Verlagsangebot
Anzeige
Anzeige
Aktuelle Stellenangebote
Alle Stellenangebote