IT-Sicherheit
Security Awareness – der Mitarbeiter: Sicherheitsrisiko Nummer eins oder Firewall?
Text: Stephan Gösele | Foto (Header): © Nmedia – stock.adobe.com
Die Allianz-Tochter AGCS hat vor einem Jahr ihr neues „Risikobarometer 2020“ zu den wichtigsten Bedrohungen für Unternehmen vorgestellt. Grundlage der Studie war der Input von mehr als 2.700 Risikoexperten aus über 100 Ländern. Das Ergebnis: 2020 stellen Cyber-Vorfälle erstmals das wichtigste Geschäftsrisiko für Unternehmen weltweit dar, gefolgt von Betriebsunterbrechungen und „rechtlichen Veränderungen“ – bspw. i. V. m. Zollbestimmungen, Sanktionen, Brexit etc. (Vgl. AGCS: Allianz Risk Barometer 2020. URL: https://www.agcs.allianz.com/news-and-insights/news/allianz-risk-barometer-2020-de.html (zuletzt aufgerufen am 08.12.2020).
Auszug aus:
Datenschutz für Praktiker
Ausgabe Januar 2021
Jetzt Leser werden
Doch oft herrscht schon bei den Grundlagen der Informationssicherheit große Verwirrung in Unternehmen: Was darf ich, was nicht? Was muss ich als Mitarbeiter berücksichtigen? Wie erkenne ich, ob eine E-Mail verdächtig ist, kommt die nicht automatisch in den Spam-Filter? Für Daten in der Cloud bin ich nicht verantwortlich. Um die Informationssicherheit kümmert sich doch die IT? Ganz klares „Nein“ zur letzten Frage. Die IT kann nicht verhindern, dass z. B. Ausdrucke mit kritischen Informationen frei zugänglich herumliegen, dass Prototypen nicht vor den Blicken Unbefugter sicher sind, dass Mitarbeiter Prozeduren, Prozesse oder Engpässe im Geschäft ausplaudern, dass Passwörter auf Zetteln auf dem Arbeitsplatz herumliegen.
Faktor Mensch: Risiko und Chance
Aktuell gilt der Mensch als größter Risikofaktor. Vorsätzlich oder durch Unachtsamkeit, aus Unwissenheit oder durch nicht ausreichendes Gefahrenverständnis, kann er dem Unternehmen massiven Schaden zufügen. Technische Mittel können nur bis zu einem bestimmten Grad die Informationssicherheit gewährleisten, u. a. weil technischer Schutz oft reaktiv ist. Der Mensch dagegen kann proaktiv handeln, vorausgesetzt, er ist durch Informationen und Kompetenzaufbau über Informationssicherheit entsprechend sensibilisiert.
Um Mitarbeiter zur „menschlichen Firewall“ zu entwickeln, ist es notwendig, potenzielle Gefahren und deren mögliche Folgen zu verdeutlichen, und die Belegschaft in Mitverantwortung im Hinblick auf die Informationssicherheit zu nehmen. Dies gelingt, wenn Vorgesetzte das Thema zur Chefsache machen. Das heißt u. a. den Kompetenzerwerb zu fördern, etwa durch Motivationsmittel, Schulungen und Informationsveranstaltungen. Wer Commitment zeigt und mit gutem Vorbild vorangeht, ist glaubwürdig und darf auch Commitment erwarten.
Was ist Securitiy Awareness?
Der Begriff steht für Wissen und Haltung der Mitglieder einer Organisation bezüglich Schutz von Informationen der Organisation. Erst wenn alle Mitglieder Sinn und Nutzen der Informationssicherheit verstehen, über die möglichen Fehlverhalten und Bedrohungen aufgeklärt, entsprechend ihrer Position geschult sind und danach handeln, kann man von hoher Security Awareness sprechen.
Eine durchdachte Cyberabwehr-Strategie muss auf allen Ebenen verinnerlicht und mitgetragen werden. Daher ist Informationssicherheit keine rein technische oder rein IT-bezogene Angelegenheit mehr. Sie ist als Ergebnis aller Mitarbeiteraktivitäten im Unternehmen zu verstehen und wird proportional mit der Bedeutung, welche das Management ihr zuteilwerden lässt, von der Belegschaft mitgetragen.
Es muss nicht immer der böse Cyberpirat sein
Sechs der verbreitetsten und vermeidbaren Informationssicherheitsbedrohungen:
- Öffentlicher Wifi-Zugang
Viele öffentliche WLAN-Hotspots ermöglichen es, ohne Authentifizierung eine Verbindung zu einem ungesicherten Netzwerk herzustellen. Hacker könnten gefälschte Access Points erstellt haben, um bei Geräten, die eine Verbindung herstellen, auf Informationen zuzugreifen.
- Malware
Malware steht für „Malicious Software“ – also bösartige Software. Der Zweck von Malware geht vom Ausspionieren von Informationen bis zum Erlangen von Zugriffen auf Administratoren-Ebene zu Computern und Netzwerken.
- Shoulder Surfing
Ein Aspekt des Datendiebstahls, der oft vorkommt, ist das „Schulter-Surfen“. Das bezieht sich auf die Situation, wenn ein Angreifer über Ihre Schulter schaut, um Informationen vom Gerät oder Ihren Tastaturbewegungen zu erhalten. So können Kreditkartennummern oder Passwörter gestohlen werden.
- Spam-Mails
Wahrscheinlich finden auch Sie oft unerwünschte Nachrichten in Ihrem Posteingang oder im Spam-Ordner. Diese Nachrichten können in ihrer Vielzahl nicht nur Ihr E-Mail-Konto verstopfen, sie haben auch das Potenzial, sich auf Ihrem E-Mail-Server niederzulassen. Die darin enthaltenen Links oder Anhänge können eine höhere Bedrohung darstellen.
- Phishing Mails
Phishing bezeichnet einen per E-Mail durchgeführten Betrugsversuch, bei dem der Empfänger eine echt wirkende E-Mail erhält. Das Ziel: den Adressat zur Preisgabe von Daten zu verleiten. Meist scheinen diese E-Mails von bekannten und vertrauenswürdigen Webseiten zu stammen.
Auszug aus: Gösele, Stephan: Security Awareness – der Mitarbeiter: Sicherheitsrisiko Nummer eins oder Firewall?. In: Datenschutz für Praktiker, Januar 2021, S. 13–15.
Zur Person
Stephan Gösele ist Geschäftsführer der ACCURICOON GmbH, zert. Auditor ISO 27001 und Datenschutzbeauftragter, als Netzwerk-Partner der ituso GmbH unterstützt er Kunden im Bereich der Informationssicherheit.