Menschliches Fehlverhalten[Gesponsert]

IT-Security – Mitarbeiter in der Pflicht

| Autor: Anton Kreuzer, CEO von DriveLock SE

Mitarbeiter mithilfe von Online-Kampagnen für IT-Risiken sensibilisieren.
Mitarbeiter mithilfe von Online-Kampagnen für IT-Risiken sensibilisieren. (Bild: istockphoto | nd3000 (Standardlizenz))

Um Schadsoftware in Unternehmensnetzwerke einzuschleusen, werden Mitarbeiter oft gezielt manipuliert. Diese Gefahr lässt sich durch gezielte Schulungsmaßnahmen signifikant reduzieren.

Die Zahlen zum Thema Cyberkriminalität sind alarmierend: Über 620 Milliarden Schadprogramme gibt es weltweit, jeden Tag kommen 280.000 neue hinzu. Milliarden von Identitäten werden durch Phishing gestohlen und CEO-Fraud verursacht als neueste betrügerische Masche Schäden in Höhe von 175 Millionen Euro , so das Bundesamt für Sicherheit in der Informationstechnik (BSI). Auf den ersten Blick lassen diese Zahlen nicht erkennen, welche Rolle die Mitarbeiter eines Unternehmens dabei spielen und warum sie beim Thema IT-Sicherheit in die Pflicht genommen werden sollen. Die Schuld liegt doch allein bei Hackern und Cyberkriminellen? Leider ist das nur die halbe Wahrheit, denn unachtsame oder unwissende Mitarbeiter stellen eine echte Gefahr für das Unternehmen dar. Doch so weit muss es nicht kommen.

Security Awareness – Kampagneninhalte ereignisbasiert aussteuern
Security Awareness – Kampagneninhalte ereignisbasiert aussteuern (Bild: DriveLock SE)

Sorglose Mitarbeiter

Bereits 2014 waren 90% der Sicherheitslücken in Unternehmen auf menschliches Fehlverhalten zurückzuführen. Um zu erkennen, dass Anwender und Unternehmen Opfer von Cyberattacken wurden, bedarf es auch der Kompetenz, diese Gefahren zu erkennen und für genügend Schutz zu sorgen. Mitarbeiter in Unternehmen, und dabei spielt es keine Rolle, aus welcher Abteilung sie kommen, müssen ein Bewusstsein für IT-Sicherheit entwickeln. Die Annahme, dass Beschäftigte aus Bereichen wie Human Resources oder Vertrieb nichts mit der IT-Sicherheit zu tun haben, ist ein Irrglaube, der schnell zu Lasten des gesamten Unternehmens gehen kann. Alle Mitarbeiter können Fehler machen, arbeiten mit wichtigen Unternehmensinformationen und vor allem: Jeder kann einen Beitrag dazu leisten, dass Cyberkriminelle keine offenen Türen einrennen.

Häufig sind es Verhaltensweisen, die nicht in Verdacht stehen, weitreichende Konsequenzen haben zu können. Nicht immer sind es komplexe Algorithmen und Programme, mit denen Hacker versuchen, direkt in das Netzwerk eines Unternehmens einzudringen. Mitarbeiter müssen zum Beispiel oft Programm-Updates herunterladen. Wenn dabei nicht genau drauf geachtet wird, von welcher Website die Update-Datei kommt, gelangt schnell Schadsoftware in das Netzwerk, wenn es sich um eine betrügerische Seite handelt. Selbst der so oft genutzte USB-Stick kann zur Falle werden. Als Giveaway werden die Sticks oft auf Messen oder bei anderen Geschäftsterminen verschenkt. Oft werden sie ohne zu überlegen an den Unternehmensrechner oder das Firmenlaptop angeschlossen. Ohne eine leistungsstarke Device-Control, die die Schnittstelle überwacht, kann Schadsoftware ungehindert in das Unternehmensnetzwerk gelangen.

Mit dem Voranschreiten des mobilen Arbeitens werden zudem immer mehr Geräte genutzt. Neben dem Rechner sind das zum Beispiel Laptops, Tablets oder Firmen-Smartphones. Viele dieser Geräte werden mitunter auch privat genutzt. Möglicherweise wird auch hier nicht genau genug drauf geachtet, worauf geklickt oder was heruntergeladen wird. Zusätzlich besteht das Risiko, dass die Geräte verloren oder gar gestohlen werden. Gehen auf USB-Sticks oder anderen Geräten gespeicherte Daten verloren, ist das in mehrfacher Hinsicht problematisch. Schließlich gilt seit einigen Woche die neue EU-DSGVO. Unternehmen müssen Verletzungen dieser Verordnung melden, was Haftungs- und Regressansprüche zur Folge haben kann.

► ONLINE BREAKFAST: Managed Security Services & Security Awareness im Kontext DSGVO.

IT-Sicherheitskampagne zum Thema EU-DSGVO
IT-Sicherheitskampagne zum Thema EU-DSGVO (Bild: DriveLock SE)

So wird geködert

Auch wenn das auf IT-Security spezialisierte Ponemon-Institut in seiner Studie „Cost of Cyber Crime“ herausgefunden hat, dass klassische Malware noch immer die größte Bedrohung darstellt, nehmen Sicherheitslücken, bei denen Hacker auf das Fehlverhalten von Mitarbeitern setzen, stetig an Bedeutung zu. Besonders beliebt sind Phishing-E-Mails, über die beispielsweise Ransomware in das Firmennetzwerk eingeschleust werden soll. Dabei handelt es sich um scheinbar unverdächtige E-Mails, die allerdings umso gefährlicher werden können. Besonders Unternehmen werden häufig Opfer dieser Masche, indem zum Beispiel augenscheinlich harmlose Bewerbungs-E-Mails Dateianhänge wie Bilder und Lebensläufe enthalten, die bei Ausführung das System infizieren. Phishing-E-Mails sehen in vielen Fällen ungefährlich aus, sodass Anhänge bedenkenlos angeklickt werden.

► So verbessern Sie das Sicherheitsbewusstsein Ihrer Mitarbeiter.

Quiz zur Abfrage der Kampagneninhalte
Quiz zur Abfrage der Kampagneninhalte (Bild: DriveLock SE)

Security Awareness für Mitarbeiter

Unzählige weitere Beispiele aus der Praxis zeigen, wie wichtig es ist, dass alle Mitarbeiter im Unternehmen ein Bewusstsein dafür entwickeln, dass auch sie Teil der IT-Sicherheit sind. Wenn, wie eingangs erwähnt, 90% der Sicherheitslücken auf menschliches Fehlverhalten zurückgehen, liegt hier ein großes Potenzial, die Sicherheit zu verbessern. Im Alltag wird überall vor Gefahren gewarnt, zum Beispiel durch Schilder und Warnhinweise. Im Unternehmen können Mitarbeitertrainings helfen, dieses Bewusstsein zu erzeugen. Wichtig ist, dass diese Schulungen keine alleinstehenden, einmaligen Sondermaßnahmen sind. Um das Bewusstsein der Mitarbeiter nachhaltig zu schärfen, ist eine Integration in den Arbeitsalltag essentiell. Im Idealfall wird die Schulung sogar durch die verwendete IT-Sicherheitslösung unterstützt.

Security Awareness - Kampagnen zielgruppenbasiert aussteuern
Security Awareness - Kampagnen zielgruppenbasiert aussteuern (Bild: DriveLock SE)

Human Firewall

Das Modul DriveLock Smart SecurityEducation beispielsweise dient der Steigerung des Sicherheitsbewusstseins seitens der Beschäftigten und stärkt somit die sogenannte „Human Firewall“. Die Lösung spielt kurze Schulungsinhalte zielgruppen- oder eventbasiert (z.B. bei Einstecken eines USB-Sticks oder bei Download einer nicht freigegebenen Applikation) aus – via Text, Bild oder Video – und dokumentiert die Teilnahme der Mitarbeiter an diesen Schulungsinhalten revisionssicher. Durch kontinuierliches Lernen in sicherheitsrelevanten Situationen werden Mitarbeiter so für mögliche Gefahren sensibilisiert. All das erfolgt im Einklang mit aktuellen Datenschutzrichtlinien und ist für verschiedene DriveLock-Suites einschließlich der aktuellen Suiten Smart AppGuard und DeviceGuard erhältlich. Das Thema Security Awareness mit der Gefahrenabwehr durch leistungsstarke technische Lösungen zu verzahnen, hat für Unternehmen viele Vorteile und ist eine ein wichtiger Schritt, um die IT-Sicherheit im Unternehmen nachhaltig zu verbessern.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45385046 / Mitarbeiter-Management)