Phishing-Angriffe, E-Mails, die mit Viren und Trojanern verseucht sind, Social Engeneering und Sicherheitslücken in der Software – die Liste digitaler Angriffe ist lang. Ebenso die Möglichkeiten der Abwehr. Doch am Ende entscheidet in vielen Fällen ein Faktor darüber, ob ein Systemangriff verhindert werden kann oder nicht: der Mensch. Menschliches Verhalten ist Risikoträger und der Schadensverursacher Nummer 1 der IT-Sicherheit.
Laut einer Studie von VMware sind 56 Prozent der IT-Entscheider in Deutschland der Ansicht, dass Mitarbeiter über wenig Bewusstsein und Kenntnisse im Bereich IT-Sicherheit verfügen. Elf Prozent der Mitarbeiter würden laut ihrer Ansicht gegen Sicherheitsrichtlinien des Unternehmens verstoßen, um ihre Arbeit effektiv ausführen zu können. Laut Medienberichten sind von Mitarbeitern verursachte Fehler sogar für mehr als die Hälfte aller Security-Probleme in der IT verantwortlich. Und warum? Kevin Mitnick, ehemals meist gesuchter Hacker der USA und heute Social-Engineering-Experte, bringt es auf den Punkt: Menschen lassen sich täuschen. Neugier, Leichtgläubigkeit und Unachtsamkeit öffnen Cyberkriminellen Tür und Tor in sensible Bereiche. Eine mangelhaft geschützte IT-Infrastruktur, Software, die Möglichkeiten für Exploits bietet, oder andere technische Schwachstellen sind problematisch für Unternehmen. Doch der Faktor Mensch gilt bei vielen Angriffen der letzten Jahre als schwächstes Glied in der Kette und war an der Entstehung der betreffenden Sicherheitslücken beteiligt– und ist es heute noch.
Aufklärung in der IT-Sicherheit und neue Wege für eine effektive Mitarbeiter-Awareness sind dringend erforderlich. Wer Security Awareness im Unternehmen schaffen will, muss seine Mitarbeiter „mitnehmen“, stetig schulen und sensibilisieren.
Mitarbeiter müssen Bedrohungen erkennen und abwehren können
Entsprechend umfassend müssen die zu ergreifenden Schutzmaßnahmen sein. Einzelmaßnahmen sorgen nur für einen oberflächlichen Schutz. Alle Mitarbeiter müssen in der Lage sein, solche Attacken zu erkennen. Zu einer erfolgreichen Unternehmenssicherheit zählen daher auch Anwender, die mit gesundem Menschenverstand und fundierten Kenntnissen und Fertigkeiten Bedrohungen erkennen und abwehren können. Formale Organisationsrichtlinien, Passwort-Management, interne Newsletter, Flyer oder altbewährte Vortrags- und Schulungsformate sind bekannte Mittel, um die Awareness in Sachen IT-Sicherheit zu erhöhen. Interaktive Formate als Planspiele oder „Match Plays“ stellen eine sinnvolle Ergänzung dar. Wer am eigenen Leib erfährt, wie sicherheitsgefährdend das eigene Verhalten sein kann, wird künftig mit offeneren Augen durch den Alltag gehen.
Im Kreis der Mitarbeiter muss ein weit verbreitetes Bewusstsein für das Thema IT-Sicherheit herrschen, und zwar ein Bewusstsein, das über technische Aspekte und organisatorische Maßnahmen, wie einen festen Ansprechpartner für die IT-Sicherheit, hinausgeht. Doch auch hier ist Fingerspitzengefühl gefragt. Eine Angst-Kultur aus Regelungen und Verboten nützt niemandem, sie verunsichert nur zusätzlich. Es ist eine Frage der Balance im Zusammenspiel von Unternehmens- und Sicherheitskultur.
Die Kunst besteht darin, sicherheitsbewusstes Handeln effektiv zu fördern und das Risikobewusstsein zu schärfen. Und zwar bei den Menschen in den Organisationen.