Erhöhte Sicherheit durch das Zusammenspiel von Mensch und Maschine

Erhöhte Sicherheit durch das Zusammenspiel von Mensch und Maschine

Die zunehmende Vernetzung und Digitalisierung unserer (Arbeits-) Welt erfordern es, IT-Sicherheit neu zu denken. Die Zahl der Cyberangriffe steigt stetig und die Angriffe selbst werden immer raffinierter. Neben Angriffen von außen lohnt sich beim Thema IT-Sicherheit auch immer ein Blick auf die internen Prozesse. Hier lauern häufig Schwachstellen, die durch eine ausgeprägte Security Awareness und die sichere, zu Ende gedachte Automatisierung von Prozessen weitestgehend geschlossen werden können.

Cyberangriffe gehören inzwischen für Unternehmen jeder Größe zu den größten Risiken. Das verwundert kaum, wenn man auf die unglaubliche Summe von 116,6 Millionen Schadprogrammen blickt, die sich laut aktuellem Bericht zur Lage der IT-Sicherheit des BSI aktuell im Umlauf befinden. Schadprogramme, die häufig über Phishing-Mails in die Systeme von Unternehmen gelangen. Ein Einfallstor, das oft von Mitarbeitenden geöffnet wird, denn: durch das Öffnen von infizierten Anhängen, die an einer getäuschten E-Mail hängen, können Schadprogramme leicht in die Unternehmens-Infrastruktur geschleust werden und Systeme im schlimmsten Fall komplett lahmlegen.

Das ist auch der Grund, warum der sogenannte „Faktor Mensch“ häufig als größtes Sicherheitsrisiko für die Unternehmens-IT genannt wird. Doch den Mitarbeitenden den Schwarzen Peter der IT-Sicherheit zuzustecken, ist in vielen Fällen zu einfach gedacht. Sicher, jeder Mensch macht Fehler. Unternehmen jedoch sind in der Verantwortung, Fehlerquellen bestmöglich zu minimieren, beispielsweise, indem Prozesse klar definiert werden oder Lösungen für eine optimale und sichere Arbeitsumgebung angeschafft werden. Denn schon durch sauber strukturierte interne Prozesse lassen sich fehlerbedingte Gefahren für Daten und Abläufe minimieren und die Unternehmensinfrastruktur von innen heraus proaktiv sicher aufbauen.

Sicherheitsbewusstsein bei Mitarbeitenden schaffen

Die Einführung von Sicherheitsmaßnahmen kann nur dann erfolgreich sein, wenn Mitarbeitende im Unternehmen in puncto Security Awareness geschult und über die Risiken von Cyber-Angriffen und die möglichen Konsequenzen für das Unternehmen informiert werden. Auf diese Weise können sie Sicherheitsrisiken genauer einschätzen und bei einem Sicherheitsvorfall die Gefahr durch geeignete Gegenmaßnahmen abwehren oder zumindest minimieren.

Bei regelmäßigen internen Schulungen und Trainings sollten Unternehmen ihren Angestellten alles Wissenswerte rund um das Thema IT-Sicherheit vermitteln und Antworten auf dringende Fragen liefern. „Wen muss ich informieren, wenn ich einen verdächtigen Anhang geöffnet habe?“ oder „Wie verhalte ich mich nach einem Incident richtig?“ Auf diese Weise sind die Mitarbeitenden in der Lage, bei einem Sicherheitsvorfall schnell und korrekt zu reagieren und Gefahren richtig einzuschätzen.

IT-Sicherheit hängt jedoch nicht allein von den Mitarbeitenden ab. Eine umfassende Sicherheit ist nur möglich, wenn verantwortungsvolle Mitarbeitende und intelligente Technologien reibungslos zusammenarbeiten.

Sicherheitslücke Datenaustausch

Die ideale Sicherheitslösung lässt sich nahtlos in den Alltag der Mitarbeitenden integrieren und sorgt im besten Fall sogar noch dafür, dass Prozesse effizienter gestaltet werden. Das einfachste Beispiel ist das Thema E-Mail-Kommunikation: Viele Mitarbeiter verschicken interne und externe Informationen regelmäßig über ungesicherte Kanäle, wo Cyberkriminelle die Daten ohne großen Aufwand abfangen können. Angreifer verwenden die erlangten Informationen dann als Basis für gezielte Spear-Phishing-Angriffe und nutzen die abgefangene Kommunikation, um möglichst authentisch wirkende E-Mails und Nachrichten zu verfassen. Durch das Öffnen von manipulierten Anhängen oder Links gelangt die Schadsoftware direkt auf den verwendeten Rechner und wird von dort in das Gesamtsystem gespeist.

Unternehmen und Behörden sollten deswegen zum Senden von E-Mails und zum Übertragen von Dateien Kommunikationskanäle nutzen, die über eine sichere Ende-zu-Ende-Verschlüsselung verfügen: Diese beginnt auf dem Endgerät des Versenders und erstreckt sich über den gesamten Übertragungsweg bis hin zum Empfänger, wo sie verschlüsselt abgelegt und gespeichert werden. Die Daten und Anhänge sind also jederzeit geschützt. Automatisierte Einstellungen bei einer sicheren E-Mail-Kommunikation sorgen zudem dafür, dass Anhänge beim Versenden grundsätzlich verschlüsselt werden oder nur bestimmte Dateiformate übertragen werden dürfen. Das schützt auch vor einer nachträglichen Manipulation der Daten.

Allerdings stößt die Speicherkapazität von E-Mail-Postfächern insbesondere beim Versand großer Dateien schnell an ihre Grenzen. Dennoch stellen viele Unternehmen keine DSGVO-konformen Plattformen zum sicheren Datenaustausch bereit. Die Konsequenz: Mitarbeitende nutzen kostenlose Cloud-Lösungen, die sie aus dem privaten Umfeld kennen. Den meisten Nutzern ist dabei nicht bewusst, dass diese Systeme Daten und Informationen nur unzureichend schützen und gegen die DSGVO verstoßen. Unternehmen sollten ihren Mitarbeitenden daher auch ein sicheres Tool für Filesharing zur Verfügung stellen – sichere Datenräume haben sich dabei besonders etabliert.

Mehr Sicherheit durch Input Management

Ein weiteres Einfallstor, das Cyberkriminelle gerne angreifen, ist das sogenannte Input Management. Darunter versteht man im umfassenden Sinn die Art und Weise, in der Daten im Unternehmen aufgenommen, verarbeitet und intern verteilt werden. Dabei werden alle Arten von Daten verarbeitet, von geschäftsrelevanten Daten wie Rechnungen oder Mahnungen über personenbezogenen damit besonders schützenswerten Dokumente wie Bewerbungen oder Krankmeldungen. Ein besonders leichtes Spiel haben Angreifende, wenn die Daten unstrukturiert eingehen. Auch Funktionspostfächer mit unüberblickbar vielen Empfängeradressen können hier ein Risiko darstellen: Je größer der Empfängerkreis ist, desto höher ist die Wahrscheinlichkeit, verdächtige Anhänge nicht erkannt oder mögliche Risiken falsch eingeschätzt werden.

Aus diesem Grund ist es entscheidend, den Empfängerkreis möglichst klein zu halten und Zuständigkeiten genau zu definieren. Eine Möglichkeit für den strukturierten Dateneingang ist der Einsatz von digitalen Formularen mit klar definierten Zuständigkeitsbereichen und Ansprechpartnern. So ist sichergestellt, dass nur ein sorgfältig ausgewählter Personenkreis die entsprechenden Dokumente erhält und im Zweifelsfall verdächtige Anhänge schnell identifizieren kann.

Zusätzliche Sicherheit durch Sicherheitsfeatures

Um die Sicherheit zusätzlich zu erhöhen, setzen zahlreiche Unternehmen auf ergänzende Maßnahmen. Eine Zwei-Faktor-Authentifizierung beispielsweise kann dabei unterstützen, Nutzende einwandfrei zu identifizieren, um sicherzustellen, dass gerade sensible Informationen nur die Nutzergruppen erreichen, die über die entsprechenden Berechtigungen verfügen.

Darüber hinaus empfiehlt sich auch immer der Einsatz eines entsprechenden Virenscanners – denn auch der geschulteste Mensch ist “nur” ein Mensch. Virenscanner prüfen Anhänge auf Schadsoftware. So können Viren oder andere Malware noch vor dem Eindringen in das Unternehmensnetzwerk identifiziert, isoliert und entsprechend beseitigt werden.

Sicherheit durch Automatisierung

Ein weiteres, weit verbreitetes Sicherheitsrisiko in Unternehmen und Behörden sind manuell ausgeführte Prozesse, bei denen Fehler häufig durch Unachtsamkeit oder Unwissenheit der Mitarbeitenden entstehen. Durch das Automatisieren von Arbeitsprozessen lassen sich diese vom Faktor Mensch verursachten Schwachstellen minimieren und die Effizienz der Abläufe gleichzeitig erhöhen. Die Automatisierungs-Software übersetzt dabei repetitive Prozessschritte in Code. Daten werden so automatisch erfasst und passgenau an das weiterverarbeitende System übertragen.

Um ihre innere Sicherheit zu stärken, können Unternehmen also verschiedene Maßnahmen ergreifen. Denn festzuhalten bleibt: Fehler passieren – sowohl dem Menschen als auch Maschinen. Doch durch den Einsatz entsprechender Technologien und eine gelebte Security Awareness ist es möglich,  interne Schwachstellen zu minimieren und damit die Sicherheit von Systemen signifikant zu erhöhen.

Bild: https://www.shutterstock.com/de/g/BiancoBlue85