Blog: Viele Mitarbeiter halten sich nicht an einfachste Sicherheitsmassnahmen – Was können Unternehmen tun?

12.11.2014

Obwohl die Aufmerksamkeit für Informationssicherheit selten so hoch war wie 2014 und die Medien voll mit Berichten über grosse Hackerangriffe, tun viele anscheinend noch nicht genug, um sich selbst und ihre Arbeitgeber zu schützen.

Viele Firmen führen Massnahmen wie E-Mail-Verschlüsselung ein, um sensible Daten zu schützen. Aber die Effektivität solcher Lösungen kann unter Umständen durch das Wissen der Anwender beschränkt werden – und an Anwenderwissen mangelt es oft.

So zeigen neue Untersuchungen, dass das Bewusstsein für selbst elementare Sicherheitsvorkehrungen gering ist, und viele Menschen mit dem Befolgen von “Best Practices” ringen – selbst bei der Passwortwahl.

Die Wahl eines sicheren Passworts ist einer der ersten Schritte beim Schutz von vertraulichen Informationen. Wenn selbst solch relativ einfachen Vorkehrungen nicht getroffen werden, wie können Unternehmen dann hoffen, Mitarbeitern komplexe Sicherheitsmassnahmen wie Verschlüsselung nahezubringen?

Die Fragestellung ist nicht trivial, denn die Konsequenzen einer Datenschutzverletzung können erheblich sein, sowohl in Bezug auf den drohenden Reputationsverlust als auch die möglichen finanziellen Folgen. Die vorgeschlagenen Änderung der EU-Datenschutzrichtlinie, die 2015 in Kraft treten soll, sieht erheblich höhere Strafgelder für Datenschutzverletzungen vor – diese können bis zu 100 Millionen Euro oder aber fünf Prozent des jährlichen Umsatzes betragen, je nachdem welcher Betrag höher ist.

Mangelhafte Sicherheitspraktiken sind ein Problem

Unternehmen entsteht also ein beträchtliches Risiko wenn die Mitarbeiter empfohlene Sicherheitspraktiken nicht befolgen. Die Wahl eines starken Passworts scheint dabei eine besondere Herausforderung darzustellen, wie neue Daten der Cyber Streetwise-Kampagne der britischen Regierung illustrieren.

Obwohl 95 Prozent der Teilnehmer zustimmen, dass sie dafür verantwortlich sind, sich selber online zu schützen, geben drei Viertel zu, dass sie sich nicht an Handlungsempfehlungen halten, um komplexe, schwer zu knackende Passwörter zu erstellen.

So nutzen zwei Drittel keinerlei Symbole in Passwörtern – eine von Sicherheitsexperten oft empfohlene Massnahme, die die Passwortstärke signifikant verbessert. Unterdessen nutzen 47 Prozent weiterhin unsichere Passwörter, wie wichtige Daten oder Namen von Haustieren, obwohl von solchen, leicht zu erratenden Zugangsdaten nachdrücklich abgeraten wird.

Ein Grund für dieses Verhalten mag in der schieren Anzahl von Online-Diensten liegen, die heute genutzt werden. Mehr als vier von fünf Personen verwalten heute mehr Konten, für die Passwörter erforderlich sind, als letztes Jahr. Jeder Brite hat im Durchschnitt Zugangsdaten zu 19 Konten. Etwa 35 Prozent der Studienteilnehmer geben an, dass die Schwierigkeit, sich Passwörter zu merken, der Grund für den Verzicht auf ein starkes Passwort ist.

Das erklärt wahrscheinlich auch, warum so viele Menschen das gleiche Passwort über mehrere Dienste – sowohl private als auch berufliche – hinweg nutzen. Das erhöht das Risiko im Vergleich zur Wahl eines schwachen Passwortes erheblich. Es reicht unter Umständen, dass ein Anbieter einer Sicherheitslücke zum Opfer fällt, Hacker könnten dann mithilfe des erbeuteten Passworts Zugriff auf viele andere Konten erlangen – geschäftliche Anwendungen und Netzwerke eingeschlossen.

Wie können sich Unternehmen schützen?

Studien wie die der britischen Regierung lassen erahnen, was für ein mühsames Unterfangen es sein kann, Mitarbeitern „gute Sicherheitspraktiken“ zu vermitteln. Und manchmal reicht ein Fehltritt aus, um die Unternehmenssicherheit zu gefährden.

Überhaupt Bewusstsein für besseres Sicherheitsverhalten zu schaffen ist ein guter Anfang, aber nicht ausreichend, um Firmen zu schützen. Daher müssen sich Unternehmen fragen, was sie noch zum Schutz ihrer vertraulichen Daten tun können.

Wenn man sich Verschlüsselung als Beispiel anguckt, fragen sich viele nach dem effektiven Nutzen, da Verschlüsselung als komplexes Unterfangen gilt, dass Mitarbeitern zusätzliche Schritte im Arbeitsalltag abverlangt – mit der Versuchung, diese einfach zu umgehen. Der Schlüssel des Erfolgs liegt also darin, die Lösungen so transparent wie möglich zu machen und sicherzustellen, dass die Mitarbeiter für mehr Sicherheit keine zusätzlichen Hürden überwinden müssen.

Der Einsatz einer solchen Lösung, für die Mitarbeiter keine Schulung benötigen – und die sie vielleicht sogar noch nicht mal bewusst wahrnehmen – kann extrem hilfreich sein. Denn die Anwender müssen ihre Arbeitsabläufe nicht ändern, während das Unternehmen von der gestiegenen Sicherheit profitiert.

Natürlich fällt dadurch das Problem nicht weg, dass einige Grundregeln der Sicherheit von Mitarbeitern beachtet werden müssen. Dazu gehört die Erstellung starker Passwörter – denn diese werden in der nahen Zukunft weiterhin an gewissen Stellen zwingend erforderlich sein. Aber wenn komplexe Abläufe so transparent wie möglich sind, können sich Unternehmen eher darauf konzentrieren, ihren Mitarbeitern die Grundregeln für sicheres Verhalten nahezubringen – von denen diese schlussendlich ja auch privat profitieren können.


von Marcel Mock, CTO

Marcel