Berichte aus der Praxis

Security Awareness – der Mitarbeiter: Sicherheitsrisiko Nummer eins oder Firewall?

Text: Stephan Gösele | Foto (Header): © Nmedia – stock.adobe.com

Die Allianz-Tochter AGCS hat vor einem Jahr ihr neues „Risikobarometer 2020“ zu den wichtigsten Bedrohungen für Unternehmen vorgestellt. Grundlage der Studie war der Input von mehr als 2.700 Risikoexperten aus über 100 Ländern. Das Ergebnis: 2020 stellen Cyber-Vorfälle erstmals das wichtigste Geschäftsrisiko für Unternehmen weltweit dar, gefolgt von Betriebsunterbrechungen und „rechtlichen Veränderungen“ – bspw. i. V. m. Zollbestimmungen, Sanktionen, Brexit etc. (Vgl. AGCS: Allianz Risk Barometer 2020. URL: https://www.agcs.allianz.com/news-and-insights/news/allianz-risk-barometer-2020-de.html (zuletzt aufgerufen am 08.12.2020).

Auszug aus:

Datenschutz für Praktiker
Ausgabe Januar 2021
Jetzt Leser werden

Doch oft herrscht schon bei den Grundlagen der Informationssicherheit große Verwirrung in Unternehmen: Was darf ich, was nicht? Was muss ich als Mitarbeiter berücksichtigen? Wie erkenne ich, ob eine E-Mail verdächtig ist, kommt die nicht automatisch in den Spam-Filter? Für Daten in der Cloud bin ich nicht verantwortlich. Um die Informationssicherheit kümmert sich doch die IT? Ganz klares „Nein“ zur letzten Frage. Die IT kann nicht verhindern, dass z. B. Ausdrucke mit kritischen Informationen frei zugänglich herumliegen, dass Prototypen nicht vor den Blicken Unbefugter sicher sind, dass Mitarbeiter Prozeduren, Prozesse oder Engpässe im Geschäft ausplaudern, dass Passwörter auf Zetteln auf dem Arbeitsplatz herumliegen.

 

Faktor Mensch: Risiko und Chance

Aktuell gilt der Mensch als größter Risikofaktor. Vorsätzlich oder durch Unachtsamkeit, aus Unwissenheit oder durch nicht ausreichendes Gefahrenverständnis, kann er dem Unternehmen massiven Schaden zufügen. Technische Mittel können nur bis zu einem bestimmten Grad die Informationssicherheit gewährleisten, u. a. weil technischer Schutz oft reaktiv ist. Der Mensch dagegen kann proaktiv handeln, vorausgesetzt, er ist durch Informationen und Kompetenzaufbau über Informationssicherheit entsprechend sensibilisiert.

Um Mitarbeiter zur „menschlichen Firewall“ zu entwickeln, ist es notwendig, potenzielle Gefahren und deren mögliche Folgen zu verdeutlichen, und die Belegschaft in Mitverantwortung im Hinblick auf die Informationssicherheit zu nehmen. Dies gelingt, wenn Vorgesetzte das Thema zur Chefsache machen. Das heißt u. a. den Kompetenzerwerb zu fördern, etwa durch Motivationsmittel, Schulungen und Informationsveranstaltungen. Wer Commitment zeigt und mit gutem Vorbild vorangeht, ist glaubwürdig und darf auch Commitment erwarten.

 

Was ist Securitiy Awareness?

Der Begriff steht für Wissen und Haltung der Mitglieder einer Organisation bezüglich Schutz von Informationen der Organisation. Erst wenn alle Mitglieder Sinn und Nutzen der Informationssicherheit verstehen, über die möglichen Fehlverhalten und Bedrohungen aufgeklärt, entsprechend ihrer Position geschult sind und danach handeln, kann man von hoher Security Awareness sprechen.

Eine durchdachte Cyberabwehr-Strategie muss auf allen Ebenen verinnerlicht und mitgetragen werden. Daher ist Informationssicherheit keine rein technische oder rein IT-bezogene Angelegenheit mehr. Sie ist als Ergebnis aller Mitarbeiteraktivitäten im Unternehmen zu verstehen und wird proportional mit der Bedeutung, welche das Management ihr zuteilwerden lässt, von der Belegschaft mitgetragen.

 

Es muss nicht immer der böse Cyberpirat sein

Sechs der verbreitetsten und vermeidbaren Informationssicherheitsbedrohungen:

  • Öffentlicher Wifi-Zugang
    Viele öffentliche WLAN-Hotspots ermöglichen es, ohne Authentifizierung eine Verbindung zu einem ungesicherten Netzwerk herzustellen. Hacker könnten gefälschte Access Points erstellt haben, um bei Geräten, die eine Verbindung herstellen, auf Informationen zuzugreifen.
  • Malware
    Malware steht für „Malicious Software“ – also bösartige Software. Der Zweck von Malware geht vom Ausspionieren von Informationen bis zum Erlangen von Zugriffen auf Administratoren-Ebene zu Computern und Netzwerken.
  • Shoulder Surfing
    Ein Aspekt des Datendiebstahls, der oft vorkommt, ist das „Schulter-Surfen“. Das bezieht sich auf die Situation, wenn ein Angreifer über Ihre Schulter schaut, um Informationen vom Gerät oder Ihren Tastaturbewegungen zu erhalten. So können Kreditkartennummern oder Passwörter gestohlen werden.
  • Spam-Mails
    Wahrscheinlich finden auch Sie oft unerwünschte Nachrichten in Ihrem Posteingang oder im Spam-Ordner. Diese Nachrichten können in ihrer Vielzahl nicht nur Ihr E-Mail-Konto verstopfen, sie haben auch das Potenzial, sich auf Ihrem E-Mail-Server niederzulassen. Die darin enthaltenen Links oder Anhänge können eine höhere Bedrohung darstellen.
  • Phishing Mails
    Phishing bezeichnet einen per E-Mail durchgeführten Betrugsversuch, bei dem der Empfänger eine echt wirkende E-Mail erhält. Das Ziel: den Adressat zur Preisgabe von Daten zu verleiten. Meist scheinen diese E-Mails von bekannten und vertrauenswürdigen Webseiten zu stammen.

 

Auszug aus: Gösele, Stephan: Security Awareness – der Mitarbeiter: Sicherheitsrisiko Nummer eins oder Firewall?. In: Datenschutz für Praktiker, Januar 2021, S. 13–15.

JETZT ABONNENT WERDEN UND KEINE AUSGABE VERPASSEN:

Infodienst Datenschutz für Praktiker

Infodienst Datenschutz für Praktiker