IT-Sicherheit: Warum der Schutz bei den Mitarbeitern anfangen muss

Digitales Business

Digitales Business

Datum 20.07.2016
Lesezeit 3 Min.

IT-Sicherheit: Warum der Schutz bei den Mitarbeitern anfangen muss

Der Siegeszug von IT und Vernetzung hat kleine wie große Unternehmen in vielerlei Hinsicht flexibler und leistungsfähiger gemacht. Gleichzeitig stieg aber auch die Verletzbarkeit von Firmen-Infrastrukturen, Datenbeständen und unternehmenskritischen Anwendungen. Jedes zweite Unternehmen ist laut Studie des Digitalverbandes BITKOM im April 2015 Opfer von digitalen Angriffen geworden. IT-Sicherheit sollte deshalb eine Top-Priorität im Unternehmen sein. Dabei spielt aber nicht nur die richtige Technologie eine zentrale Rolle, sondern vor allem die Mitarbeiter.

Es gibt wohl kaum einen IT-Verantwortlichen, der das Thema IT-Sicherheit auf die leichte Schulter nehmen würde. Dazu gehören unter anderem:

  • Absicherung von Netzwerken und Endgeräten
  • Einsatz starker Passwörter
  • geschützte Nutzerkonten
  • regelmäßige Aktualisierung der verwendeten Betriebssysteme und Applikationen
  • eine gewissenhafte und lückenlose Datensicherung

Sicherer Schutz von Unternehmensdaten – technisch und organisatorisch

Unabhängig von technischen Schutzmaßnahmen, sollten die für IT-Sicherheit Verantwortlichen eine weitere Dimension im Blick behalten: Nämlich organisatorische und mitarbeiterbezogene Sicherheitsfragen.

Social Engineering – Mitarbeiter für IT-Sicherheit sensibilisieren

Wie zum Beispiel das US-Sicherheitsunternehmen Palo Alto Networks in einer erst im Mai veröffentlichten Warnung betonte, basieren die erfolgreichsten Angriffstechniken nicht auf „Exploits“ – also Softwarefehlern und technischen Schutzlücken –, sondern auf „Social Engineering“.

Ein vermeintlich freundlicher Anrufer gibt sich als Kollege aus der IT-Abteilung aus. Eine gut gemachte Phishing-E-Mail verleitet dazu, auf einer präparierten Seite die eigenen Benutzerdaten einzugeben. Ein vermeintlicher Irrläufer in den unternehmenseigenen Prozessen verleitet einen Mitarbeiter dazu, eine komprimierte Datei anzuklicken – und damit eine Schadsoftware zu installieren.

Tatsächlich laufen die meisten erfolgreichen Datendiebstähle und Spionage-Angriffe heute nach solchen Mustern ab. Dabei gilt es, die Eigenverantwortung der Mitarbeiter zu stärken und sie gleichzeitig für die wichtigsten Bedrohungen zu sensibilisieren.

IT Sicherheit im Unternehmen

Top 3 der Sicherheitsrisiken

1.Social Engineering und Phishing

Auch unter Zeitdruck sollte immer gesunde Skepsis walten. Vertrauliche Daten sollten sicher übertragen werden. Und vor dem Anklicken von Links und Dateianhängen in E-Mails – ob von vermeintlichen Absendern aus dem Unternehmen, Geschäftspartnern oder von unbekannten Absendern – sollte immer der Gedanke stehen: Könnte dies ein Betrug sein?

2.Physischer Zugriff

USB-Sticks, wie sie etwa gern als Giveaway auf Messen verteilt werden, können unsichtbare Schadsoftware enthalten. Der Geschäftspartner, der unbeobachtet im Büro sitzt, könnte einen „Keylogger“ (Spezialgerät, das Tastatureingaben mitspeichert) installieren. Hier gilt: Besondere Vorsicht walten lassen.

3.Privat genutzte Endgeräte und zu sorglose Nutzung von Netzen und Funktionen

„BYOD“ (Bring Your Own Device) ist aus dem Unternehmensalltag kaum mehr wegzudenken. Doch klare Richtlinien (etwa: Zugriff auf sensible Daten nur über VPN-Verbindungen zu virtuellen Arbeitsumgebungen) und eine angemessene Absicherung auch der privaten Geräte können hier unerfreulichen Konsequenzen vorbeugen. Vorsicht auch vor öffentlichen WLANs und Gratis-Apps. Beide können nachweislich Daten ausspionieren – jedoch meist vom Nutzer leider unbemerkt.

Mitarbeiter konstruktiv und maßvoll sensibilisieren

Doch wie sollen Unternehmen mit dieser Situation umgehen? Natürlich gilt es, die Mitarbeiter für die Gefahren zu sensibilisieren beziehungsweise die Wichtigkeit der IT-Sicherheit . Doch viele Sicherheitsexperten – wie beispielsweise auch die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegebenen Empfehlungen – erkennen an: Zu restriktive Sicherheitskonzepte verursachen Ausweichbewegungen. Sind für den Alltag wichtige Funktionen auf den Firmenrechnern gesperrt, nutzen die Mitarbeiter eben ihre privaten Endgeräte und machen die Lage damit unsicherer als zuvor. Erforderlich sind daher maßvolle und ausgewogene Maßnahmen sowohl zur technischen und organisatorischen Absicherung als auch zur Information und Schulung der Betroffenen.

Facebook Twitter WhatsApp LinkedIn Xing E-Mail