Dass die IT-Sicherheit in Unternehmen von größter Bedeutung ist, ist in den letzten Jahrzehnten nicht nur bei bedeutsamen und sicherheitsorientierten Großkonzernen wie aus der Rüstungs- oder Finanzbranche angekommen, auch die Betriebe aus dem Mittelstand wissen längst um die Gefahren, die die komfortable, aber nicht immer sichere Kommunikation und Interaktion über das Inter- und Intranet sowie via E-Mail und Cloud mit sich bringt.
Jedoch wird oftmals der „falsche Feind“ in Bezug zur IT-Sicherheit in den Vordergrund gerückt. Natürlich sind Cyberkriminalität, Angriffe von Hackern oder Sicherheitslücken in Softwareprogrammen gefährliche Faktoren für die IT-Sicherheit von Unternehmen – jedoch wird ein bedeutender Sicherheitsaspekt oftmals unterschätzt: die eigenen Mitarbeiter.
Unternehmenseigene Mitarbeiter als Sicherheitsrisiko?
Statistisch gesehen sind die eigenen Mitarbeiter nach wie vor die größte Bedrohung für die Unternehmenssicherheit im Bereich der IT.
Statistisch gesehen sind die eigenen Mitarbeiter nach wie vor die größte Bedrohung für die Unternehmenssicherheit im Bereich der IT. Immer wieder wurde festgestellt, dass die größten Sicherheitslücken in den Händen der eigenen Mitarbeiter der Unternehmen liegen. So ergab eine in Großbritannien durchgeführte Studie, dass 75% der großen Unternehmen im Jahr 2016 sensible, personalbezogene Sicherheitsverletzungen erfahren haben, wobei 50% der schlimmsten Sicherheitsverletzungen durch menschliches Versagen verursacht wurden. Da Mitarbeiter die erste „Verteidigungslinie“ gegen Sicherheitsverletzungen darstellen, können ihre Gewohnheiten gleichzeitig die größte Bedrohung für die Unternehmenssicherheit darstellen.
Wie gefährden Mitarbeiter die Unternehmenssicherheit?
Es gibt verschiedene Möglichkeiten, wie Mitarbeiter die Sicherheit des Unternehmens gefährden können, unabhängig davon, ob böswillige Absichten vorliegen oder nicht. Einige riskante Verhaltensweisen umfassen das Freigeben von Daten über die Cloud, das versehentliche Herunterladen schädlichen Apps, das Klicken auf Phishing-Links, das Wiederverwenden von sensiblen Kennwörtern, die Teilnahme an Online-Spielen oder auch das einfache Anhören von infizierten Musik-Dateien.
Eine andere Studie, die sich mit den Angestelltengewohnheiten befasste, ergab, dass 63% der Angestellten ihre betrieblich zur Verfügung gestellten Workstations, Laptops oder Telefone aus persönlich motivierten Gründen wie Online-Banking, Social Media und Einkaufen verwenden. Dieselbe Studie ergab auch, dass 94% der Mitarbeiter ihre Laptops oder Mobilgeräte mit öffentlichen WiFi-Netzwerken verbinden und 69% arbeitsbezogene Daten in diesen Netzwerken verarbeiten.
Eine andere Studie, die 588 Sicherheitsexperten von 2.000 globalen Unternehmen befragte, veranschaulichte, dass 3% der mobilen Geräte von Mitarbeitern mit Malware infiziert sind, welche mit dem Unternehmensnetzwerk verbunden sind.
Was muss getan werden?
Erfahrene Sicherheitsexperten regen an, dass die Unternehmenssicherheit auf einem Cybersicherheitsprogramm beruhen sollte, in dem detailliert beschrieben wird, wie das Unternehmen mit Bedrohungen von außen und von innen umgeht. Um eine solide Grundlage zu schaffen, sollte folgendes Framework für mehr Sicherheit im Internet umgesetzt werden.
- Sensibilisierung der Mitarbeiter: Es reicht nicht mehr aus, dass sich nur IT-Mitarbeiter den Gefahren des Internets bewusst sind. Die ganze Belegschaft des Unternehmens muss verstehen, wie einfach es ist, Fehler zu machen und wo Schwachstellen bestehen und die IT-Sicherheit des Unternehmens gefährdet sein kann. Das Fehlen von Kenntnissen bedeutet die Möglichkeit von Sicherheitsrisiken!
- Datensicherung: Nichts ist so unentbehrlich wie eine gut geplante, kontinuierliche und sicherheitsüberprüfte Datensicherung. Backups aller relevanten Unternehmensdaten sind unerlässlich und werden vorzugsweise auf einem externen Datenträger gespeichert, damit im Falle eines Verstoßes gegen die Sicherheitsrichtlinien mit einer „sauberen“ Kopie gearbeitet werden kann. Kopien dieses Datenträgers sollten aus Sicherheitsgründen extern, wie zum Beispiel in einem Bankschließfach, gelagert werden.
- Dokumentation: Eine verbindliche Dokumentation der GOs und NO-GOs bezüglich der IT-Sicherheit im Mittelstand hilft enorm dabei, allen Mitarbeitern das Sicherheitskonzept um die IT im Unternehmen zu verinnerlichen. Einige Unternehmen halten es beispielsweise für akzeptabel, dass Mitarbeiter ihre Laptops mit nach Hause nehmen und auch privat nutzen, andere schließen es generell aus. Darüber hinaus müssen Unternehmen ihre Reaktionspläne im Falle von Verstößen gegenüber Mitarbeitern erörtern; ob es sich um Warnungen, Abmahnungen oder ähnliches handelt. Einmal festgelegt und kommuniziert, können diese Richtlinien den einzelnen Mitarbeitern als verbindliche Verfahrensweisen bezüglich der IT-Sicherheit des Unternehmens auferlegt werden.
Diese drei Eckpunkte bilden eine solide Grundlage für die Unternehmenssicherheit. Die Unternehmen müssen sich jedoch selbst verpflichten, dieses Framework kontinuierlich weiterzuentwickeln und stetig kritisch zu überprüfen. Durch ein kontinuierliches Monitoring können Sicherheitsteams der IT schnell auf Fehlverhalten von Mitarbeitern reagieren und böswillige oder durch Unwissenheit verursachte Sicherheitsverletzungen abstellen. Durch kontinuierliche Schulung der Mitarbeiter in Bezug auf die zunehmenden Bedrohungen im Bereich der Cyberkriminalität kann sich das Verhalten der Mitarbeiter positiv ändern, ihre eigene Sichtweise und Einstellung zur IT-Sicherheit professionalisiert und das unternehmenseigene „Bollwerk“ gegen negative, digitale Angriffe und Unsicherheiten verstärkt werden.
Einfache Schritte zur besseren, unternehmenseigenen IT Sicherheit
Nachhaltige Sicherheitskultur erfordert jedoch, dass sich jeder im Unternehmen für seinen Bereich verantwortlich fühlt.
1. Vermitteln Sie, dass Sicherheit jeden angeht
Viele Unternehmen sind der Meinung, dass die IT-Abteilung generell für die Cyber-Sicherheit verantwortlich ist. Nachhaltige Sicherheitskultur erfordert jedoch, dass sich jeder im Unternehmen für seinen Bereich verantwortlich fühlt. Jeder muss sich als Sicherheitsexperte fühlen. Sicherheit geht alle an, von den leitenden Angestellten bis zum Empfangsmitarbeiter. Jeder besitzt Verantwortung für ein Stück der Sicherheitskultur des Unternehmens und muss dieser gerecht werden.
2. Sensibilisieren Sie das Bewusstsein
Sicherheitsbewusstsein zu etablieren ist der Prozess, bei dem Sie Ihrem gesamten Team die grundlegenden Lektionen zum Thema Sicherheit nahebringen. Sie müssen die Sensibilität jedes Mitarbeiters ansprechen, mögliche Bedrohungen und Sicherheitsrisiken zu erkennen, bevor Sie von ihnen verlangen können, die Tiefe der Bedrohungen einschätzen zu können. Neben dem allgemeinen Bewusstsein besteht ein Bedarf an Kenntnissen über Anwendungssicherheit. Das Sicherheitsbewusstsein für Anwendungen richtet sich an Entwickler und Tester innerhalb des Unternehmens. In Ihrem Unternehmen befinden sie sich möglicherweise in der IT-Abteilung. Bewusstsein ist eine fortwährende Aktivität! Transferieren Sie dieses Bewusstsein auch auf Mitarbeiter außerhalb der IT!
3. Beobachten und motivieren: Belohnen Sie Mitarbeiter, die das Richtige für die Sicherheit tun
Suchen Sie nach Gelegenheiten, um Erfolge zu feiern! Wenn jemand besondere Verdienste um die IT-Sicherheit einbringt oder Ideen liefert, die besonders beachtenswert sind: Zeichnen Sie diesen Mitarbeiter aus! Eine einfache Geldprämie von zum Beispiel 100 Euro ist eine große Motivation für die Mitarbeiter und wird sie dazu bringen, sich eigenständige Gedanken über das Sicherheitskonzept zu machen, es weiter zu verfolgen oder sogar neue Ideen zu liefern. 100 Euro als Ideenprämie sind nichts im Vergleich zu dem, was als eventuelles Sicherheitsrisiko enttarnt oder als neue Idee im Sicherheitskonzept aufgenommen werden kann.
4. Sicherheit unterhaltsam und ansprechend gestalten
Zu guter Letzt: Verpacken Sie Sicherheit ansprechend. Sicherheit kann Spaß machen! Für viel zu lange Zeit haben Menschen „Sicherheit“ mit langweiligem Training oder jemandem, der die ganze Zeit „Nein“ sagt, in Verbindung gebracht. Trockene Schulungen über unliebsame, für manche Mitarbeiter schwer verständliche Themen führen eher zum „ertragen“ denn zum „verstehen“. Bauen Sie Spaß und Engagement in alle Schulungen ein, um Ihre Mitarbeiter anzusprechen und eine nachhaltige Sicherheitskultur zu etablieren – und das mit Freude am Lernen. Wenn Sie also über ein spezielles Sicherheitstraining verfügen, stellen Sie sicher, dass eine PowerPoint-Präsentation nicht langweilig und ermüdend ist.
Organisieren Sie zum Beispiel eine Phishing-Schreibwerkstatt und lassen Sie Ihre Mitarbeiter eine Phishing-E-Mail für das eigene Unternehmen schreiben. Die Möglichkeiten sind kreativ endlos, wenn Sie anfangen, über den Tellerrand hinauszudenken und die Mechanismen hinter dem Begriff Cyberkriminalität zu verstehen.
Erwarten Sie keine Wunder, planen Sie weitsichtig
Noch viele Aspekte der IT Sicherheit in Unternehmen ließen sich hier ansprechen. Kulturwandel, auch in der IT-Sicherheit, braucht Zeit. Erwarten Sie nicht, dass die Mitarbeiter Ihres Unternehmens über Nacht zu „Sicherheits-Ninjas“ werden, die im Schlaf jedes Sicherheitsrisiko erkennen. Mit dem richtigen Prozess und der richtigen Einstellung kommen Sie aber dorthin.
Viel wichtiger ist es aber auch darzustellen, dass es für diese sicherheitsrelevanten Probleme qualifizierte Dienstleister gibt, die sich mit Kompetenz und Weitsicht den speziellen Bedürfnissen von mittelständischen Unternehmen widmen. Hierzu gehört zum Beispiel cloudshift als Dienstleister, der alle diesbezüglich Kriterien erfüllt.