Warum der “Faktor Mensch” nicht das Problem ist – und was IT-Verantwortliche tun können

IT-Sicherheit zählt weiterhin zu den größten Herausforderungen für Unternehmen. Cyberangriffe durch Phishing-Mails und Ransomware stehen auf der täglichen Agenda. Laut einer aktuellen Studie von Western Digital liegt die größte Gefahr für Unternehmen allerdings nicht bei Cyberkriminellen, sondern bei den Mitarbeitenden. Unserer Meinung nach machen sie es sich damit ein bisschen zu einfach. Denn Fehler passieren nur dort, wo sie organisatorisch und systemisch möglich sind. Der “Faktor Mensch” steht dabei nicht am Anfang, sondern am Ende der Fehlerkette. Wir erklären, worauf es beim Thema Security Awareness ankommt, wo Sicherheitslücken tatsächlich entstehen und wie sie behoben werden können. 

Einfallstor: Datenaustausch

Während Systeme und Infrastrukturen durch Firewalls und andere Mechanismen geschützt werden können, stellt der interne Datenverkehr und damit die Datensicherheit weiterhin ein großes Risiko für Unternehmen und Behörden dar. Rund 30 Prozent der Datensicherheitsvorfälle in den befragten Unternehmen waren auf interne Prozesse zurückzuführen. Der Rückschluss, dass menschliches Versagen das Problem ist, trügt. Denn jede Organisation, jede Behörde und jedes Unternehmen schafft durch den Aufbau einer Infrastruktur Prozesse und Regeln, mit denen Arbeitsabläufe klar definiert werden.

Oder besser: definiert sein sollten. Dass dies nicht der Fall ist, zeigt eine andere Zahl aus der zitierten Studie: 55 Prozent der Befragten gaben an, dass sie Zugriff auf Daten haben, die außerhalb ihres Zuständigkeitsbereichs liegen. Ein klares Indiz dafür, dass bei vielen Unternehmen eine Definition von Zuständigkeitsbereichen und entsprechende Vorkehrungen in der internen Infrastruktur fehlen. 

Versendet man Daten nun noch extern, spielt die Datensicherung eine noch wichtigere Rolle. Es müssen entsprechende Vorkehrungen getroffen werden, um Daten sicher verschicken und empfangen zu können – intern wie auch extern. 

Praktikable Lösungen für den Arbeitsalltag

Dafür müssen sich Organisationen ein Bild davon machen, welche Tools aktuell genutzt werden und welche Risiken damit möglicherweise verbunden sind. Für Deutschland zeichnet die Studie ein klares Bild: ein Großteil der Unternehmen versendet Daten per Mail (48 Prozent) oder nutzt Online-Filesharing-Systeme (46 Prozent). Weit abgeschlagen dahinter liegt der postalische Versand entsprechender Hardware. 

Grundsätzlich ist die Nutzung von E-Mail und Filesharing positiv zu bewerten. Die Nutzerfreundlichkeit und die Integration in vertraute Arbeitsweisen sind Schlüsselfaktoren dafür, dass Lösungen auch angenommen werden. Wichtig ist dabei allerdings, dass diese Lösungen sicher sind. Beim Versand von vertraulichen Daten ist eine durchgängige Verschlüsselung unerlässlich. Auch bei Filesharing-Systemen muss auf eine entsprechende Sicherheit geachtet werden. 

Gibt es solche Lösungen in Organisationen nicht, bauen sich Mitarbeitende ein Sammelsurium an eigenen, nicht autorisierten Tools auf – die sogenannte Schatten-IT. Gibt es beispielsweise keine firmeninternen Lösungen, um sehr große Dateien sicher zu versenden, greifen Mitarbeitenden auf eigene Ideen zurück. Der Aufwand, dafür ein Ticket bei der IT aufzumachen, ist zu groß, immerhin muss es schnell gehen und will die IT nicht mit so unwichtigem Kram behelligen. Dass die Daten dort unter Umständen nicht sicher sind, ist den Mitarbeitenden dabei häufig gar nicht bewusst. 

Security Awareness langfristig verbessern

Um Unternehmensdaten nachhaltig zu sichern ist es daher wichtig, Security Awareness durch eine Kombination aus technischen, erzieherischen und kulturellen Maßnahmen zu erreichen. Das Ziel muss dabei eine konstante Risikominimierung sein, denn – und auch das ist eine wichtige Erkenntnis – eine 100-prozentige Sicherheit für Systeme und Programme gibt es nicht. Um die Security Awareness im Unternehmen langfristig zu sichern, müssen Systeme geschaffen werden, die es ermöglichen, Fehlerketten frühzeitig zu unterbrechen. 

1. Bereitstellung entsprechender Werkzeuge

Nur, wenn Organisationen entsprechende Lösungen bereitstellen, können diese auch umgesetzt werden. Konkret bedeutet das, dass Lösungen für einen sicheren Datenaustausch über Enterprise-Filesharing-Systeme ebenso bereitgestellt werden müssen wie ein verschlüsselter E-Mail-Versand – angepasst an den Arbeitsalltag der Mitarbeitenden.

2. Klarer Definition von Abläufen

Um Fehlerketten frühzeitig zu unterbrechen, müssen entsprechende Prozesse definiert werden. Wen muss ich bei einem Sicherheitsvorfall informieren? Wie verhalte ich mich richtig? Je größer eine Organisation, umso weiter die Dienstwege. Und umso schwieriger wird es, bei Fragen und Unsicherheiten den richtigen Ansprechpartner zu erwischen. Voraussetzung dafür ist das genaue Wissen darüber, wo kritische und sensible Daten ausgetauscht und verarbeitet werden und wo mögliche Einfallstore für Cyberkriminelle liegen. In einer IT-Sicherheitsrichtlinie wird festgelegt, welche Daten und welche Programme verwendet werden dürfen, wie der Austausch geregelt wird und was im Falle eines Sicherheitsvorfalls zu tun ist. 

3. Etablierung einer offenen Fehlerkultur

Fehler sind menschlich. Und sie passieren. Wichtig ist allerdings nicht, die schuldige Person zu suchen und zu bestrafen. Wichtig ist, die Fehler zu beheben und sie so in Zukunft zu verhindern. Durch regelmäßige Sicherheitsschulungen können Mitarbeitenden darauf hingewiesen werden, welche aktuellen Bedrohungen es gibt und worauf man achten muss. Ob Webinare oder Kurzpräsentationen – gerade in Zeiten von verteiltem Arbeiten sollte eine regelmäßige Schulung der Mitarbeitenden keine Herausforderung mehr darstellen. 

4. Erhöhung der Sicherheit durch Automatisierung

Automatisierte Abläufe bei Systemen und Programmen können die Sicherheit zusätzlich erhöhen. Blockinglisten oder das Verbot von Markos – viele Einstellungen können von der Administration bereits im Hintergrund getroffen werden, sodass sie von Mitarbeitenden nicht einmal bemerkt werden. Weitere Administrations-Einstellungen, beispielsweise im Bereich der Passwortrichtlinien oder beim Einsatz von Zwei-Faktor-Authentifizierung bieten zusätzlichen Schutz. 

Eine offene, konstruktive und regelmäßige Kommunikation und Schulungen sowie entsprechende Programme und technische Voreinstellungen sind also die Basis für eine gelebte Security Awareness in Unternehmen. Und die Grundlage dafür, dass Fehler, die nun mal menschlich sind, keine Katastrophe auslösen.

^{Bild: https://www.shutterstock.com/de/g/Rawpixel}