Laut einer 2018 durchgeführten Umfrage des Bundesamts für Sicherheit in der Informationstechnik (BSI) antwortet jeder sechste Mitarbeiter auf eine gefälschte E-Mail, die angeblich von einem Vorgesetzen stammen soll. Auf diesen Weg gibt er sensible Unternehmensinformationen preis. Dem Human Factor Report von Proofpoint zufolge werden 30% von verseuchten E-Mails innerhalb von 10 Minuten geöffnet. Weitere 52% innerhalb einer Stunde. Ist der Mitarbeiter also der größte Risikofaktor für die IT-Sicherheit eines Unternehmens?
Social Engineering – Zielscheibe Mensch
Es können noch so viele Schlösser an der Tür angebracht und Alarmanlagen installiert sein: Öffnet jemand die Tür freigiebig, helfen Sicherheitsmaßnahmen kaum oder gar nicht.
Der Proofpoint-Studie zufolge sind 99% der Cyber-Angriffe demnach auf den Faktor Mensch ausgelegt. Die vielfältigen Varianten werden zusammengefasst unter dem Begriff Social Engineering. Das scheinbar schwächste Glied in der Kette, der Mitarbeiter, hilft den Angreifern dabei durch unbedachtes oder unwissendes Handeln. Typische Aktionen sind das Aktivieren eines Makros, Öffnen einer Datei oder Klicken auf einen Link, die es Angreifern ermöglichen, in ein Unternehmen einzudringen.
Das schwächste Glied?
IT-Sicherheit scheitert also am Mitarbeiter? Nicht unbedingt. Das BSI hat in seiner oben genannten Umfrage zudem herausgefunden, dass sich immerhin 58% der ArbeitnehmerInnen aktiv zum Thema IT-Sicherheit informieren. 42% informieren sich nicht; sie gehen u.a. davon aus, dass ihr Unternehmen ihnen sagt, wenn Maßnahmen nötig sind oder bereits alle Vorkehrungen getroffen sind.
Oft fehlt es demzufolge an der ausreichenden Information und Schulung der MitarbeiterInnen. Dies betrifft sowohl das Verhalten bei verdächtigen Vorfällen als auch den Umgang mit vorhandenen Sicherheitsmaßnahmen. Werden Mitarbeiter nicht ausreichend mitgenommen und über den Sinn und Zweck eingeführter Maßnahmen informiert, werden diese letztendlich auch nicht (flächendeckend) angewandt. Beispielsweise kann eine E-Mail-Verschlüsselungslösung nur dann wirksam arbeiten, wenn die Mitarbeiter sie nicht als störend oder unwichtig empfinden. Maßnahmen sollten daher benutzerfreundlich und einfach sein. Gleichzeitig muss die Awareness für mögliche Gefahren und für den Schutz der digitalen Unternehmenswerte der ArbeitnehmerInnen ausreichend geschult sein.
Awareness Building
Sensibilisierung und Schulungen tragen dazu bei, ArbeitnehmerInnen zu einem verlässlichen Glied in der Kette der IT-Sicherheit zu machen. Wichtig ist es, das Selbstverständnis des Einzelnen als entscheidenden Teil des Sicherheitsgefüges zu stärken und mögliche Vorbehalte und Hürden abzubauen. Das offene Gespräch zwischen Vorgesetzen und Mitarbeitern unter enger Einbindung der IT kann dazu maßgeblich beitragen. Zuhören und Motivation sind dabei zielführender als Vorgaben und Maßnahmenkataloge.
Darüber hinaus gibt es zahlreiche Dienstleister und Unterlagen, die Sie beim Awareness Building unterstützen, z.B. mit Infomaterialien, Seminaren oder Angriffs-Simulationen. Nutzen Sie auch die Angebote der Bundesregierung und öffentlicher Einrichtungen. Und warum nicht mal spielerisch an die Sache rangehen nach dem Motto „Learning by doing“? Lassen Sie z.B. in einem vorher kommunizierten Zeitraum einen Phantom jagen, der gezielt versucht mit unterschiedlichen Methoden Ihre MitarbeiterInnen zu täuschen. Selbstverständlich kontrolliert und ohne reale Auswirkung auf den Produktivbetrieb.
Sicherheitsfaktor Mensch!
Fazit: Der Mensch ist kein Risiko, er ist Teil der Lösung. Machen Sie Ihre MitarbeiterInnen zu „menschlichen Firewalls“, wie es Volkan Yilmaz, Geschäftsführer und Co-Founder der AnkhLabs GmbH und Entwickler der WeEncrypt Suite, bezeichnet. Den im Gegensatz zu einer Maschine ist der Mensch (zumindest aktuell noch) leichter zu sensibilisieren und kann Veränderungen schneller wahrnehmen und sein Verhalten adaptieren.
