Security Intelligence

Der Faktor Mensch

Von Mark Krüger · 2014

Die zunehmende Digitalisierung von Geschäftsprozessen fordert Unternehmen heraus, sich in puncto Risikomanagement stark aufzustellen. Tools und Technik sind dabei ein wichtiger Aspekt, fast noch bedeutsamer ist jedoch das Bewusstsein aller Mitarbeiter für mögliche Gefährdungen.

Fakt ist: Sicherheit ist keinesfalls gewährleistet, nur weil die technischen Vorkehrungen ausreichend erscheinen. Wichtig ist eine vorausschauende Vorgehensweise der Führungsebene, die dafür Sorge trägt, dass Compliance-Richtlinien von allen – nicht nur der IT-Abteilung – kompetent umgesetzt werden. Denn die Schäden in Milliardenhöhe, die jährlich durch Industriespionage entstehen, allein auf technische Unzulänglichkeiten zu reduzieren, würde am eigentlichen Problem vorbeiführen. Tatsächlich stellen Mitarbeiter ein Einfallstor für Cyber-Eindringlinge dar. Sind sie es doch, die ständig Informationen nach außen – also ins Netz – tragen. Heute geschieht dies nicht mehr lediglich durch den Standard-Email-Verkehr und Suchanfragen. Es wird gebloggt, getwittert und gepostet, und das nicht einmal als Freizeitspaß, sondern weil sich Social Media zunehmend zum integralen Teil der Corporate Identity entwickeln. Die Gefahr: Einschleppung von Mal- und Spyware. Aber auch die Unachtsamkeit Einzelner bei der Preisgabe von Informationen kann zu eklatanten Sicherheitsvorfällen führen. Ähnlich beim populären „Bring Your Own Device“-Prinzip, bei dem sich viele nicht der Bedrohung durch Hacker bewusst sind.

Von der „Schwachstelle“ zum Verteidiger

So sehr, wie die „Schwachstelle Mensch“ besungen wird, lässt sich das Ganze aber auch positiv formulieren. Denn es gilt wie so oft: Wissen ist Macht. Letztlich sind es die Mitarbeiter, die mit ihrem Know-how Schäden verhindern, Barrieren aufbauen und ihre Organisation schützen können. Während Angestellte eines Handwerksbetriebs ganz selbstverständlich über die Gefahren bei der Bedienung ihrer Maschinen aufgeklärt werden, wird die Arbeit am Rechner vielerorts noch nicht genügend als Gefährdungsquelle anerkannt. Dabei ist es notwendig, das Thema „Security Awareness“ (englisch: „Sicherheitsbewusstsein“) in ein ganzheitlichen Sicherheitskonzept aufzunehmen.

Quelle: IDG Business Media, 2012

Gut geschult – gut gesichert

Dafür empfiehlt es sich für Unternehmen und Institutionen, kompetente Dienstleister ins Haus zu holen, die Schulungen durchführen und die Belegschaft sensibilisieren. Wo ist die Firma besonders verwundbar? Welche „Juwelen“ dürfen auf keinen Fall in Feindeshand gelangen? Welche Schutzmaßnahmen sind sinnvoll, und wie kann sie jeder Mitarbeiter nutzen? In welchem Gewand oder unter welchem Vorwand schleichen sich digitale Angreifer ein, wie sind sie erkennbar, und wie können sie abgewehrt werden? Ein Beispiel ist so simpel wie effektiv: das „Social Engineering“, bei dem das Vertrauen manipuliert und missbraucht wird. Ein typisches Beispiel ist der Fall, in dem der Eindringling schlicht telefonisch nach einem Passwort fragt – eine dreiste Taktik mit einer Erfolgsquote von frappierenden 80 Prozent. Awareness Training weist genau auf die Sicherheits-Schwachstellen hin und schafft das Bewusstsein beim Mitarbeiter. Häufig wird das Thema durch Präsenzunterricht sowie E-Learning vermittelt und zusätzlich mit spielerischen Hilfsmitteln wie etwa Video-Clips, Postern, Checklisten oder gar Maskottchen ergänzt. Spezielle Zertifizierungen bescheinigen Unternehmen und Organisationen, dass sie im Bereich IT-Sicherheit gut aufgestellt sind. Die Nachfrage ist groß, umso mehr Normen und Standards gibt es mittlerweile, nach denen zertifiziert wird. Der bekannteste und gängigste Standard ist der von Auditoren begleitete und geprüfte ISO 27001, der Unternehmen bei der Implementierung eines ISMS (Informationssicherheitsmanagement) unterstützt. Ob mit intensiven Schulungen oder gar Zertifizierungen: Durch Weiterbildung erlangen Mitarbeiter mehr Vertrauen und Sicherheit im Umgang mit der Technik. So können sie ihren Arbeitgeber gegen Angriffe verteidigen und tragen so zum Unternehmenserfolg bei.