IT-Sicherheit: Risikofaktor Mensch

June 24, 2016
IT-Sicherheit: Risikofaktor Mensch

Beitrag von Jörg Knippschild, Senior Manager Solution Architects, VMware

JoergKnippschild_Portrait_02-nnn-201x300 Warnungen und Schlagzeilen zu gefährlichen Hackerangriffen auf Privatpersonen, Organisationen und die öffentliche Infrastruktur sind mittlerweile fast an der Tagesordnung. Denn die Betrugsmethoden von Cyberkriminellen werden immer ausgefeilter, um sich in Netzwerke zu hacken und Zugang zu sensiblen Daten zu verschaffen. Der kriminellen Kreativität scheinen dabei keine Grenzen gesetzt: sei es mittels Trojanern, Viren, Exploits oder Ransomware. Hinzu kommt die Tatsache, dass die meisten Angreifer nicht darauf aus sind, den Super-Gau zu verursachen und auf sich aufmerksam zu machen. Ganz im Gegenteil: Es gilt, sich so lange wie möglich im Hintergrund auszutoben, illegale Malware-Aktivitäten zu verbergen und das Auffinden, Erkennen und Analysieren des Schadcodes zu erschweren.

Dies ist die eine Seite der IT-Sicherheit: die zunehmende Cyberkriminalität. Die andere Seite ist die Angriffsfläche, die ihr geboten wird: durch eine unzureichend geschützte IT-Infrastruktur. Eine weitere Schwachstelle, die es beim Thema IT-Sicherheit zu bedenken gilt, ist neben unzureichender Technologie auch der Faktor Mensch. Laut einer aktuellen Studie, die ein IT-Marktforschungsinstitut im Auftrag von VMware durchgeführt hat, ist die Mehrheit der befragten IT-Entscheider in Unternehmen der Meinung, dass Bedrohungen nicht ausschließlich von außen kommen, sondern dass Mitarbeiter eine ebenso große Gefahr für die Datensicherheit darstellen. Den Grund hierfür sehen sie in den ungenügenden Technologiekenntnissen der Mitarbeiter und dem kaum vorhandenen Bewusstsein für die digitalen Gefahren, die bei der Nutzung von Notebook, Smartphone und Co lauern.

Der Mensch – das schwächste Glied in der IT-Sicherheitskette?

Ganz gleich wie gut und aktuell die IT-Infrastruktur eines Unternehmens auch ist, dennoch bleibt der Mensch ein entscheidender Risikofaktor in der Sicherheitskette. Er nutzt als Mitarbeiter nahezu täglich die Unternehmens-IT – mit all seinem Wissen und Können, aber auch mit seinen Schwächen. Cyberkriminelle nutzen menschliche Eigenschaften, wie beispielsweise Neugier und Unachtsamkeit häufig aus, um Schädlinge zu verbreiten und sich so Zugang zu Netzwerken zu verschaffen. Für IT-Professionals und Security-Spezialisten stellt dies keine große Überraschung dar.

Der klassische Phishing-Betrug ist dabei ganz besonders erfolgreich: Glaubwürdig wirkende E-Mails werden an Mitarbeiter eines Unternehmens verschickt. Anschließend muss lediglich ein Angestellter auf einen Link, ein Bild oder eine Datei in der E-Mail klicken und der Angreifer hat freien Zugriff auf das Unternehmensnetzwerk. Auch das Zugreifen über private Geräte der Mitarbeiter auf Unternehmensdaten stellt für jeden dritten IT-Entscheidungsträger eine große Sicherheitslücke dar.[1]

Menschen machen aus Unachtsamkeit Fehler und kaum jemand kann sich 20 – 30 verschiedene Passwörter merken. Das führt dazu, dass diese aufgeschrieben und präsent am Arbeitsplatz aufbewahrt werden. Hier fällt mir ein aktuelles und prominentes Beispiel ein: Selbst das Twitter- und Instagramprofil von Facebook CEO Mark Zuckerberg wurde kürzlich aufgrund identischer Passwörter gehackt. Auch das fehlende Wissen über beispielsweise die Vielseitigkeit von Phishing-Attacken kann zu unachtsamem Verhalten führen und der Mitarbeiter gibt über eine imitierte Internetseite Zugangsdaten und Passwörter ein.

IT-Sicherheitsstudie VMware

VMware Studie zeigt: IT-Führungskräfte und Management sind sich bei IT-Sicherheitsstrategie uneinig.

Was können Unternehmen dagegen machen?

Ich sehe Unternehmen in diesem Zusammenhang in der Pflicht, klare Vorgaben und Verhaltensregeln für den Umgang mit der Unternehmens-IT sowie mit vertraulichen Daten aufzustellen. Schulungen und Richtlinien können die Mitarbeiter dabei unterstützen, derartige Attacken frühzeitig zu erkennen und folglich nicht darauf einzugehen. Weiter sollte für Aufklärung und Sensibilisierung der Mitarbeiter für diese Themen gesorgt werden. Verbote oder gar eine Angst-Kultur helfen dabei keineswegs weiter. Die Verantwortlichen sollten ihren Mitarbeitern die Möglichkeit geben, sich weiterzuentwickeln und bestehende Prozesse zu verändern, um das Unternehmen so vor Cyberangriffen zu schützen. Denn die beste Sicherheitsstrategie eines Unternehmens nützt nichts, wenn man den Faktor Mensch außer Acht lässt. Die Lösung dessen ist, menschliche Sicherheitslücken zu schließen und digitale Ressourcen zu schützen.

Wie sicher ist ihr Unternehmen im Hinblick auf Ihre Mitarbeiter? Sind Sie ebenfalls der Meinung, dass Menschen ein gewisses Sicherheitsrisiko für ein Unternehmen darstellen? Ich freue mich über eine rege Diskussion.

Mehr zum Thema IT-Sicherheit finden Sie auch auf meinem Twitter-Kanal.

[1] IT-Sicherheitsstudie 2016, VMware


 
Related Posts
 

Insbesondere große Unternehmen möchten nicht mit einem Sicherheitsvorfall in den Schlagzeilen landen und haben den Ernst der Lage erkannt. Deshalb schaffen viele von ihnen eine weitere strategische Position: Die des CISOs (Chief Information Security Officer), der sich vorrangig um die IT-Sicherheit im Unternehmen kümmern soll. Doch welche Verantwortlichkeiten bringt diese Position mit sich?

Cyber-Angriffe nehmen weltweit zu und Cyber-Security ist daher eine der …

Read More

Als IoT-Experte bin ich täglich mit Unternehmen in Kontakt, die gerne entsprechende Projekte umsetzen möchten und fantastische Visionen verfolgen. Doch während in den USA die Innovationen kräftig vorangetrieben werden, scheint Deutschland bei IoT-Projekten stets mit angezogener Handbremse zu fahren.

Neben den zahlreichen geschäftlichen, operativen und finanziellen Vorteilen, die die digitale Transformation mit sich bringt, gibt es auch einige Herausforderungen, die Unternehmen zu meistern haben. Thomas Wirtz, Pre-sales Director Germany, gibt einen Überblick.

 
 
Blog Archive