Compliance und Standards

Konzepte gegen menschliche Schwäche

Von Helge Denker · 2015

Die unfreiwillige Gefahr in den eigenen Reihen: Oft spielen Mitarbeiter bei IT-Störfällen eine Rolle. Fehlende Sicherheitsstrategien und Guidelines sowie eine zu großzügige Rechtevergaben machen die Probleme größer, als sie sein müssten. Vom IT-Sicherheitsgesetz werden positive Effekte erwartet.

Auch Mitarbeiter können durch Unwissenheit Ziel von Hackern werden.

Wie groß die Gefahr tatsächlich ist, die von unvorsichtigen Mitarbeitern in Unternehmen ausgeht, zeigte eine überraschende Studie, die der Branchenverband Bitkom Anfang 2015 veröffentlichte: Danach wurden sicherheitskritische IT-Vorfälle bei fast zwei Dritteln (65 Prozent) aller befragten Unternehmen „vor Ort“ verursacht. Im Vorjahr waren es über die Hälfte (58 Prozent). Kleine und mittelständische Unternehmen waren davon stärker betroffen als große. Zum Beispiel durch gezielten Datenklau oder durch das Einschleusen von mit Schadsoftware infizierten Datenträgern. Nur zur Erinnerung: Auch die Cyberwaffe „Stuxnet“ brauchte einen arglosen Mitarbeiter, der einen usb-Stick mit dem Wurm an Bord in einen Offline-Rechner der iranischen Atomanlage steckte. Deutlich weniger Firmen (40 Prozent) verzeichneten dagegen Angriffe auf ihre IT-Systeme „von außen“, also über das Internet. Die Legende vom bösen Hacker, der unerkannt über das Netz Firmenrechner angreift und Daten kopiert, macht demnach nicht einmal die Hälfte aller erfassten Fälle aus.

Sicherheitsproblem unsichere Passwörter

Denn nicht nur Software-Schwachstellen in Firmennetzwerken sind ein Sicherheitsproblem, sondern auch Mitarbeiter mit großzügigen IT-Rechten und unsichere, leicht zu erratende Passwörter. „Social Engineering“, also zum Beispiel das gezielte Ausfragen von Mitarbeitern, ist eine gängige und beliebte Hackermethode. Das Kernproblem ist laut Hackerlegende Kevin Mitnick folgendes: Das menschliche Verhalten und IT-Sicherheitsvorkehrungen widersprechen sich grundsätzlich. Unternehmen sind auf freundliche und hilfsbereite Mitarbeiter angewiesen, um arbeiten zu können. Menschen sind „sozial orientierte Tiere“, erklärt Mitnick, und sie brauchen Zuneigung und Anerkennung. Die menschliche Seite der Unternehmenssicherheit kontrollieren zu wollen, zum Beispiel von der Führungsebene aus, bedeutet letztendlich, jemandem etwas vorzuenthalten. Positive Nebeneffekte des IT-Sicherheitsgesetzes Dabei ist eigentlich IT-Sicherheit für und in Unternehmen besser realisierbar als bei Privatanwendern: Eine zentrale IT-Administration, Rechtevergabe, Wartung und Updates-Verwaltung, Monitoring und Outsourcing bieten im Prinzip ausreichend Möglichkeiten, um auf Sicherheitsrisiken schnell und angemessen reagieren zu können. Auch für Unternehmen, die nicht unter die kritische Infrastruktur des neuen IT-Sicherheitsgesetzes fallen, erwarten IT-Experten einen positiven Nebeneffekt, sprich, eine Verbesserung der IT-Sicherheit.

Fortschritte werden hier vor allem bei der branchenübergreifenden Vereinheitlichung von IT-Sicherheitsstandards und –strategien sowie bei der Compliance in den Unternehmen erwartet, also bei die Einhaltung von Gesetzen und Richtlinien in Firmen. Intrusion Detection und Penetrationstests Der Bitkom rät Unternehmen, neben den üblichen Sicherheitsmaßnahmen, Software zur Erkennung von IT-Angriffen („Intrusion Detection“) einzusetzen und ihre Systeme immer wieder selbst auf Schwachstellen zu überprüfen („Penetrationstest“). Darüber hinaus verbessern organisatorische Maßnahmen wie zum Beispiel Zugangskontrollen oder die Festlegung von Zugriffsrechten für bestimmte Mitarbeitergruppen das Sicherheitsniveau in den Betrieben. „IT-Angriffe können ein Unternehmen schwer schädigen oder gar in seiner Existenz bedrohen. Ein gutes Risikomanagement hilft ihnen aber, die größ­ ten Gefahren abzuwehren“, erklärt Bitkom-Präsident Dieter Kempf. Der Anteil der von Angriffen betroffenen Unternehmen ist im Vergleich zum Vorjahr unverändert hoch, so der Bitkom. Umso wichtiger sei es, die Sicherheitsvorkehrungen immer auf dem neuesten Stand zu halten und regelmäßig in den Schutz der eigenen IT-Systeme zu investieren.