Mitarbeiter zu Botschaftern für IT-Sicherheit machen

Viren, Trojaner, Ransomware – es gehen ­viele Schreckgespenster um in der modernen, ­digital vernetzten Welt. Doch können Angriffe von Außen im Prinzip nur dann fruchten, wenn es auch intern ein Problem gibt. Das kann etwa ein Leck in der tech­nischen Sicherheitsinfrastruktur sein. Viel häu­figer allerdings sitzt das Problem leider vor den Bildschirmen. Alle relevanten Untersuchungen belegen auch, dass die eigenen Mitarbeiter die häufigste Gefahrenquelle sind, wenn es um Sicherheitsprobleme geht. Dabei steckt oftmals nicht einmal kriminelle Energie oder die Absicht dahinter, dem Unter­nehmen Schaden zuzufügen. Vielmehr ist es die Sorglosigkeit im Umgang mit den tech­nischen Hilfsmitteln, die Angriffsfläche ­bietet.

Angriffe von ­Außen fruchten nur dann, wenn es auch ­intern ein Problem gibt. Und die eigenen Mitarbeiter sind die häufigste Gefahrenquelle.

Die größten Gefahren lauern stets an den Stellen, wo sich Routine einschleicht und man nicht mehr so genau hinsieht. Damit kommt dem Sicherheitsbewusstsein der ­Mitarbeiter eine enorm wichtige Bedeutung zu. Und dass es darum ­bes­ser bestellt sein könnte, zeigt nicht zuletzt der DsiN-Sicherheitsmonitor. Rund ein Drittel der Unter­nehmen sehen laut den Aus­wertungen von 2016 ­immer noch nicht die Notwendigkeit, organi­satorische Rahmenbedingungen wie Richtlinien, Sicherheitskonzepte, geregelte Verantwortlichkeiten und ähnliches für mehr IT-­Sicherheit umzusetzen. Noch weniger, nämlich nur gut ein ­Viertel, bieten ihren Mitarbeitern regel­mäßige Informationen und Schulungen zum sicherheitsbewussten Verhalten an.

Unternehmen als Inkubatoren für Sicherheitsbewusstsein

Was lässt sich dagegen tun? Die Antwort lautet: Aufklärung, Aufklärung, Aufklärung. Neben großen, öffentlichkeitswirksamen Kampagnen sind es gerade die kleinen ­Dinge, die im Prinzip jedes Unternehmen leisten kann und die hier ­Erfolg versprechen. Aufmerksamkeit zu erregen ist schon einmal ein Anfang. Aber damit die Sensi­bilisierung nachhaltig wirkt, darf sich das Thema Sicherheit nicht in einmaligen Be­lehrungen erschöpfen. Es muss im täglichen Tun an­kommen. Die Unternehmen müssen ihre Mitarbeiter dazu bewegen, ihr Verhalten zu ändern.

Ein gutes Beispiel für ein solches gelebtes Sicher­heitsbewusstsein ist die DATEV eG. Als Unternehmen mit besonderen Sicherheits­anforderungen sind IT-Sicherheit und Datenschutz sozusagen seit Gründung des Unter­nehmens vor 50 Jahren Bestandteil der DATEV-DNA. Das schlägt sich in einem um­fassenden Datenschutz- und Datensicherheitskonzept nieder. Dabei handelt es sich um ­einen Mix aus baulichen, organisa­torischen und natürlich technischen Vorkehrungen. Aber extrem wichtig ist eben auch der personelle Aspekt.

Schon beim Eintritt in das Unternehmen werden die neuen Mitarbeiter im Rahmen von ­Einführungstagen, die ihnen das Unternehmen näherbringen, auch besonders für die Gefahren beim Umgang mit Informa­tionen und beim Einsatz von IT-Systemen sensibilisiert. Zusätzlich werden Angestellte bei jedem Gang durch das Unternehmen ­beispielsweise durch Plakate mit verschiedenen Sicherheitsaspekten konfrontiert, sodass die Thematik permanent präsent ist. Regelmäßige Schulungen und virtuelle Trainings frischen immer wieder die sicherheitsspezifischen Kenntnisse auf und halten das Thema im Bewusstsein.

Dr. Peter Krug ist Vorstandsmitglied der DATEV eG und im Beirat von Deutschland sicher im Netz e.V. Dr. Peter Krug ist Vorstandsmitglied der DATEV eG und im Beirat von Deutschland sicher im Netz e.V. © Xenia Fink

DsiN-SicherheitsMonitor ­Mittelstand

Der „DsiN-Sicherheitsmonitor Mittelstand“ erhebt seit 2011 die Sicherheitslage bei mittel­ständischen Unternehmen anhand einer Onlinebefragung. Seit Start haben sich über 7.000 Unternehmen an der Umfrage beteiligt. Die Studie zeigt die Entwicklung der Sensibilisierung und Schutzmaßnahmen in unterschiedlichen Unternehmensfeldern. Auffällig ist eine steigende Digitalisierung bei eher ­stagnierenden Schutzmaßnahmen. Die aktuelle Erhebung 2016 wurde am 18. Oktober 2016 auf einer Sitzung der Cybersicherheitsallianz zur it-sa Sicherheitsmesse in Nürnberg vorgestellt.

www.dsin.de/downloads/dsin-sicherheitsmonitor-mittelstand

Schutz durch Vermeiden von ­Anwenderfehlern

Inhaltlich gibt es zwei Hauptebenen, die den Mitarbeitern in Fleisch und Blut übergehen müssen. Zum einen geht es darum, die tech­nischen Systeme sauber zu halten. Dazu gehören grundlegende Verhaltensregeln – etwa dass ein unbekannter Dateianhang beziehungsweise Internet-Link in einer E-Mail nicht einfach angeklickt werden sollte oder dass ein gefundener USB-Stick ­keines­falls mit dem Firmennetz verbunden werden darf. Und dass man auch E-Mails aus ver­meintlich bekannten Quellen eine ge­sunde ­Portion Misstrauen entgegenbringen sollte.

Damit die Sen­si­bilisierung ­nachhaltig wirkt, darf sich das ­Thema Sicherheit nicht in ein­ma­ligen Belehrungen ­erschöpfen.

Um ihre Mitarbeiter für diese Gefahren zu sensibilisieren, können Unternehmen unter anderem auf den Leitfaden „Verhaltensregeln zur Informa­tionssicherheit“ zurückgreifen, den Deutschland sicher im Netz gemeinsam mit DATEV veröffentlicht hat. Die zentralen Aspekte der IT-Sicherheit werden darin aus der Sicht von Mitarbeitern thematisiert. Sie betreffen Fragen zur E-Mail-­Sicherheit, die Vermeidung von Passwort- und Datendiebstahl sowie Methoden des Social Engineering.

Mitarbeiter gegen Social Engineering wappnen

Mit Social Engineering haben wir auch bereits die zweite elementare Angriffsebene erreicht, die nicht auf die Technik, sondern auf den Mitarbeiter als soziales Wesen zielt. Unter Social Engineering werden in der IT-Sicherheit Angriffsmethoden zusammengefasst, bei denen Kriminelle versuchen, durch Manipulation von Personen an sensible Informationen von Unternehmen oder Privatpersonen zu gelangen. Ein Beispiel für eine solche Vorgehensweise ist der sogenannte Enkel-Trick, mit dem junge Betrüger ältere Menschen zur Überweisung von Geldsummen bewegen, indem sie sich als ihre Enkel ausgeben, die in einer finanziellen Notlage stecken. Um hier Aufmerksamkeit zu schaffen, haben DATEV und DsiN einen weiteren Leitfaden entwickelt: „Verhaltensregeln zum Thema Social Engineering“.

Am Beispiel einiger besonders gefährdeter Lebens- und Arbeitsbereiche macht die Bro­schüre Unternehmer und ihre Mitarbeiter auf konkrete Risiken durch Social-­Engineering-Attacken im Arbeitsalltag aufmerksam und gibt einen kom­pakten und allgemeinverständ­lichen Überblick. Klare Verhaltensregeln am Ende jedes Kapitels sowie Hinweise zu weiter­führenden Informationen unterstützen bei der Um­setzung des Gelernten. Zusätzlich enthält der Leitfaden einen Testfragebogen, mit dem die Mitarbeiter selbst überprüfen können, wie ­anfällig sie noch für Social Engineering sind. Darüber hinaus soll ein Erinnerungs-Kalender mit integrierter Karte dabei helfen, im beruflichen Alltag stets achtsam zu bleiben.

Stefan Brandl ist Referent für Sicherheitsthemen bei der DATEV eG Stefan Brandl ist Referent für Sicherheitsthemen bei der DATEV eG © Xenia Fink

Alles eine Frage der ­Unternehmenskultur

Die Gefahren sind also prinzipiell bekannt. Informationen und Rüstzeug gibt es ebenfalls genug. Wenn viele Unternehmer und Geschäftsführer der IT-Sicherheit einen hohen Stellenwert zuerkennen würden und diesen damit auch ihren Mitarbeitern nahebrächten, würden die Angestellten ganz automatisch zu einem gigantischen Netzwerk an Sicherheitsbotschaftern, die auch in ihrem privaten Umfeld Positives bewirken. Ob dies gelingt, ist eine Frage der Unternehmenskultur. Aus der Praxis bei DATEV lässt sich erkennen, dass dieses Modell funktioniert. Bleibt zu hoffen, dass sich viele Unternehmen dazu bewegen lassen, es in die Tat umzusetzen.

DsiN-Leitfäden für Mitarbeiter

Aufklärungsmaßnahmen zur Informationssicherheit werden gerade in kleineren Betrieben vernachlässigt. Dies ist auch ein Ergebnis des DsiN-Sicherheitsmonitors. Zu den größten Schwachstellen gehören unzu­reichende Kenntnisse der Mitarbeiter. Die Leitfäden von DsiN und DATEV geben ­Praxisbeispiele zu konkreten Risiken und ­Gefahren. Sie vermitteln einen verständlichen Überblick zum Thema Informationssicherheit und helfen, Eigenverantwortung in diesem Bereich zu fördern. Die Reihe umfasst zahlreiche Aus­gaben mit den Schwerpunkten E-Mail-Sicherheit, Social Engineering und Verschlüsselung.

www.dsin.de/downloads/verhaltensregeln-zum-social-engineering


X

Sie verwenden einen sehr alten Browser.

Um diese Website in vollem Umfang nutzen zu können, installieren Sie bitte einen aktuellen Browser.
Aktuelle Browser finden Sie hier