Wie kommt IT-Sicherheit ins Bewusstsein der Nutzer?
Falsches Verhalten der eigenen Mitarbeiter sorgt häufig für die folgenreichsten und kostspieligsten Sicherheitsvorfälle im Unternehmen. Doch gemessen an seiner Bedeutung wird das Thema Sicherheitsbewusstsein eher stiefmütterlich behandelt.
„Amateurs hack systems, professionals hack people“, lautet ein gern zitierter Spruch des Security-Gurus Bruce Schneier. Die Einsicht ist schon älter, deutet aber auf ein Phänomen hin, das ein immer größeres Problem wird. Mehr als 90 Prozent aller Sicherheitsvorfälle gehen auf irgendeine Form menschlicher Aktivität zurück und für einen großen Teil dieser Aktivität sind die eigenen Mitarbeiter verantwortlich. Unachtsamkeit, mangelnde Sicherheitskultur und das Nichterkennen erster Anzeichen von Verdachtsfällen rangieren laut der neuen Studie von KPMG über Computerkriminalität in der deutschen Wirtschaft 2019 ganz oben auf der Liste der Faktoren, die Cyberbetrug und Datenklau begünstigen (siehe Grafik).
Der Fokus auf die Mitarbeiter ist kein Zufall
„Wir wissen inzwischen, dass Kriminelle sich gerne auf Menschen konzentrieren“, sagt Nikki Cosgrove, Director für International Product Marketing bei Proofpoint. „Während der Großteil der Security-Industrie sich auf der technischen Ebene bewegt halten sich die Kriminellen lieber auf Plattformen wie LinkedIn auf und suchen sich sorgfältig ihr nächstes Opfer aus.“ Cosgrove erzählt von einem Vorfall bei einem großen Automobilhersteller, dessen Code für die elektronischen Schließanlagen der Fahrzeuge geknackt wurde. Die Schwachstelle: Der für den Code verantwortliche Mitarbeiter hatte seine genaue Tätigkeit auf LinkedIn-Profil erwähnt, worauf er gezielt von den Betrügern angegangen wurde – mit Erfolg.
Nach Ansicht der meisten Experten war die Bedrohungslage noch nie so hoch wie jetzt, und das ist kein Zufall. Die Digitalisierung der Arbeitswelt hat den Kriminellen mitunter sehr in die Hände gespielt. Ortsunabhängiges Arbeiten und die Nutzung von Cloud-Plattformen haben die Arbeitenden autonomer gemacht und ihnen Möglichkeiten gegeben, ihre Tätigkeit freier zu gestalten. Gleichzeitig hat aber diese Demokratisierung der IT neue Einfallstore definiert und den einzelnen Nutzer noch mehr ins Visier der Hacker gerückt. Neben neuen Sicherheitsarchitekturen sind deswegen nun auch größere Anstrengungen in Sachen Mitarbeiterschulung gefordert.
Sicherheit muss Teil der Firmenkultur sein
Laut KPMG-Studie nimmt der Stellenwert vorbeugender Maßnahmen wieder zu und eine Mehrheit der Investitionen entfällt auf den Bereich Prävention, doch insgesamt sei die Investitionsbereitschaft nach wie vor gering. Das mag auch damit zusammenhängen, dass im Bereich Sicherheit viel spezielles Know-how nötig ist und Fachkräfte nach wie vor schwer zu bekommen sind. Die Studie bestätigt, dass knapp zwei Drittel der Befragten Firmen Schwierigkeiten bei der internen Rekrutierung und Weiterbildung der Beschäftigten haben oder kaum geeignete externe Bewerber finden. Doch es gibt auch gute Gründe anzunehmen, dass die Sache mit den Mitarbeitern unterschätzt wird.
Laut Ernst & Young entfallen aktuell nur 1,3 Prozent des Security-Budgets auf Schulungsmaßnahmen für die eigene Belegschaft. „Das ist eindeutig zu wenig“, sagt Norman Spengler, Senior Manager beim Beratungshaus. Was er noch tragischer findet ist, dass viele Unternehmen meinen, sie könnten das Thema mit einmaligen oder auch regelmäßigen Schulungen (typischerweise einmal im Jahr) abhandeln. Vielmehr müsse sich das Thema IT-Sicherheit in die Firmenkultur hineinarbeiten, so Spengler. Entsprechend hat sich die Sicherheitssparte von Ernst & Young das Motto „From Security Awareness to Security Experience“ auf die Fahnen geschrieben.
Sicherheitsbewusstsein schaffen ist eine Dauerveranstaltung
Ernst & Young hat – wie auch viele andere Beratungen, die sich mit der Digitalisierung beschäftigen – das Thema Security Awareness (Sicherheitsbewusstsein) ganz oben auf die Agenda gesetzt und bietet ein umfassendes Trainingsprogramm für Mitarbeiter. Basisschulungen im Seminarraum sind dabei nur der Anfang. „Es braucht regelmäßiges Training, das auf die verschiedenen Mitarbeiter zugeschnitten ist, und zwar auf allen Ebenen“, sagt Spengler. Das Programm umfasst Komponenten wie regelmäßige unangekündigte Phishing-Tests, Mikro-Lerneinheiten per Video, Spiele, Wettbewerbe und einiges mehr.
„Damit Sicherheit Teil der eigenen Firmenkultur wird, braucht es nicht nur Regelmäßigkeit, sondern auch Kontinuität“, sagt Bernd Kröning, Head of Sales bei Knowbe4. Krönings Arbeitgeber wird von Gartner als Spitzenreiter in Sachen Security Awareness gesehen und ist es gewohnt, seine Kunden über mehrjährige Verträge zu betreuen. „Wenn sich Unternehmen mit dem Thema beschäftigen, wird ihnen klar, dass Sicherheitsbewusstsein herzustellen keine einmalige Anstrengung sein kann. Neue Mitarbeiter, nachlassende Aufmerksamkeit und wiederkehrendes Desinteresse – das Thema braucht ein kontinuierliches Programm.“
Das eigene Unternehmen aus Sicht eines Kriminellen verstehen
Zu den vielen unterschiedlichen Maßnahmen im reichhaltigen Knowbe4-Portfolio hat sich seit letztem Jahr eine weitere gesellt, die in der Branche einzigartig ist. Mit „The Inside Man“ hat der Hersteller eine zwölfteilige Videoserie im Netflix-Stil produzieren lassen, die letzten Monat mit dem Silver Dolphin der Cannes Corporate Media & TV Awards prämiert wurde. In der Serie geht es um einen IT-Sicherheitsanalysten, der bei einem neuen Arbeitgeber anheuert, bei dem niemand ahnt, dass er von Kriminellen gesteuert wird. Von Social Engineering über Social Media-Fallen bis hin zu geknackten Passwörtern zeigt die Serie, wie einfach es für einen Außenstehenden sein kann, in die Sicherheitskontrollen und das Netzwerk eines Unternehmens einzudringen.
„Wir empfehlen unseren Kunden zu lernen, Ihren Betrieb aus der Security-Perspektive eines Kriminellen zu verstehen“, sagt Nikki Cosgrove von Proofpoint. „Sie sollten wissen, welche Mitarbeiter Zugang zu bestimmten Daten besitzen. Auch sollten sie wissen, welche Mitarbeiter für Angriffe empfänglich sind und gerne auf suspekte Links klicken oder Anhänge in E-Mails von Leuten, die sie nicht persönlich kennen, gerne aufmachen. Sie sollten das Angriffsprofil dieser Mitarbeiter kennen. Dann wissen sie auch, auf welchem Weg sie wahrscheinlich angegangen werden und ihre Abwehr- und Schulungsmaßnahmen entsprechend strukturieren.“
Freilich ist alles Training für die Katz, wenn es nicht auf der technischen Ebene entsprechend begleitet wird. Während Awareness-Spezialisten sich auf das menschliche Verhalten konzentrieren und Tools anbieten, die ebendieses schult, boomt der Markt für Mitarbeiter-Identifikationssysteme, Zugriffsmanagement und Security-Tools, die falsches oder suspektes Verhalten technisch erkennen und den Datenzugriff einschränken.
Ich bin echt dankbar, dass ich diesen Beitrag zum Thema IT-Sicherheit gefunden habe. Das ist guter Rat, die Arbeitnehmer gut zu schulen, sodass sie sicher sein können. Mit meinem Bruder habe ich mich schon viel darüber unterhalten, weil er mit einem Unternehmen dafür arbeiten möchte. Ich denke, den Beitrag werde ich ihm mal schicken.
Vielen Dank, Frau Fischer, Ihr Kommentar ehrt uns!
Laut einer neuen Studie von KPMG besteht nach wie vor das Problem, dass IT-Sicherheit nicht ausreichend im Bewusstsein der Nutzer verankert ist. Unachtsamkeit und eine mangelnde Sicherheitskultur tragen dazu bei, dass erste Anzeichen von Verdachtsfällen oft übersehen werden. Um dieses Defizit anzugehen, ist es wichtig, das Bewusstsein für IT-Sicherheit zu stärken. Dies kann durch gezielte Schulungen und Aufklärung über Cyber-Bedrohungen geschehen. Es liegt in der Verantwortung jedes Einzelnen, sich mit den Praktiken und Maßnahmen zur Gewährleistung der IT-Sicherheit vertraut zu machen und diese aktiv umzusetzen.