IT-Sicherheit: Die Schwachstelle Mensch

Wie kann ein Unternehmen das Bewusstsein beim Thema IT-Security erhöhen?

  • Wie beginnt in der Regel eine IT-Attacke auf ein Unternehmen? Laut Microsoft sind es in 91 Prozent der Fälle Phishing-E-Mails. In der jüngsten Sicherheitsstudie des IT-Konzerns gaben 79 Prozent der Unternehmen an, dass Mailwareschäden durch Fehlverhalten der Nutzer entstehen – indem sie etwa auf einen dubiosen Link in einem E-Mail klicken. Ein anderes Beispiel: Im Jahr 2018 machte der sogenannte CEO-Fraud die Runde, etwa 80 Prozent der Unternehmen waren damit konfrontiert. Dabei gaben sich Betrüger als Vorgesetzte aus, um Mitarbeiter dazu zu bringen, Firmengelder auf Auslandskonten zu überweisen. Die „Schwachstelle“, die sie dabei ausnutzen wollen, sind das Vertrauen und die Gutgläubigkeit der Mitarbeiter. Typische menschliche Eigenschaften, die den User jedoch zum erheblichen Risikofaktor bei der IT-Sicherheit machen. IT-Sicherheit darf nicht nur auf leistungsstarker Technologie basieren, sie muss auch in den Köpfen der Mitarbeiter sein, denn: Die beste Technik versagt, wenn der Mensch falsche Entscheidungen trifft, sei es aus Unwissenheit, Versehen oder Ignoranz. Die Mitarbeiter müssen als „persönliche Firewall“ Teil des Security-Mechanismus werden. Selbstverständlich kann man nicht von jedem Otto-Normal-User erwarten, dass er ein Sicherheitsexperte ist. Er muss aber in der Lage sein, mögliche Bedrohungen zu erkennen und eventuelle Risiken zu bewerten. Um das mit dem menschlichen Faktor verbundene Risiko bei der IT-Sicherheit zu minimieren, können Unternehmen jedoch einige Maßnahmen ergreifen.

Regelmäßige Schulungen

  • Der zentrale Schlüssel, um menschliches Fehlverhalten zu vermeiden, ist Aufklärung. Die Mitarbeiter müssen sich der Risiken bewusst sein und dementsprechend eigenverantwortlich handeln können. Sie sollten so sensibilisiert werden, dass eine hohe Motivation zur Anwendung der entsprechenden Maßnahmen erzielt wird. Schulungen sollten regelmäßig durchgeführt werden. Einerseits, um das Sicherheitswissen stets aufzufrischen, andererseits, damit sich die Sicherheitsbotschaften auch wirklich in den Köpfen der Mitarbeiter verankern.

Firmenkultur der Sicherheit

  • Unternehmen sollen leicht verständliche Sicherheitsrichtlinien aufstellen – und diese zusätzlich mit Best-Practice-Beispielen untermauern. Die Vorschriften sollten aber nicht nur erlassen, sondern müssen auch gelebt werden. Die Führungsetage hat dabei eine Vorbildfunktion. Die Richtlinien sollen auch Raum für einen offenen Dialog zum Thema IT-Sicherheit ermöglichen.

Schatten-IT vermeiden

  • Private Geräte, Cloud-Dienste oder externe Apps, die für berufliche Zwecke genutzt werden, ohne dass der Arbeitgeber davon weiß: Auf diese sogenannte Schatten-IT greifen 20 Prozent aller Mitarbeiter zu. Diese müssen sich bewusst sein, welche Gefahren bestehen, wenn sie Anwendungen benutzen, die nicht von der IT-Abteilung autorisiert sind. Eine leistungsstarke Firmen-IT schafft eine hohe Akzeptanz – und Akzeptanz ist wichtig, um Schatten-IT vorzugbeugen.

Fast Facts

    • 58 Prozent aller Benutzer geben versehentlich vertrauliche Informationen weiter.
    • 91 Prozent aller Cyberangriffe beginnen mit einer Phishing-E-Mail.
    • 81 Prozent aller Hacking-Angriffe nutzen kompromittierte Anmeldeinformationen.
    • Alle 53 Sekunden wird ein Notebook gestohlen.

  • (Quelle: Microsoft)