Das Risiko sitzt vor dem Rechner
Von Uli Ries
Von Mitarbeitern verursachte Fehler lösen laut Jon Ramsey von Dell über die Hälfte aller Sicherheitsprobleme in der IT aus. Geübte und geschulte Mitarbeiter, sagt Ramsey, sind darum das beste Mittel gegen kriminelle Hacker. Er fordert: „Es ist an der Zeit, dass Menschen mehr Verantwortung für die Sicherheit von Informationen übernehmen, mit denen sie jeden Tag arbeiten.“
Die Zahlen geben ihm recht: In Unternehmen, deren Beschäftigte ein Awareness-Programm absolviert haben, kommt es nur zu halb so vielen Sicherheitsvorfällen durch Mitarbeiter wie in anderen Organisationen. Auch wenn sich diese Risiken auf diese Weise nicht komplett eliminieren lassen – es sind nur wenige Maßnahmen ähnlich kosteneffektiv wie ein IT-Sicherheitstraining.
Wer ertappt das Testphantom?
Ähnliche Ansichten vertritt auch die PSW-Group. Sie kritisiert, dass man vorrangig die Technik betrachte, wenn es um IT-Sicherheit geht – Firewalls, Virenschutzsysteme und verschlüsselte Kommunikationswege. Die Mitarbeiter, die das IT-System bedienen, müssen ebenfalls sensibilisiert werden, fordert PSW. Jeder technische Schutz habe ohne Mitarbeiterkompetenz nur wenig Wert. Sensibilisierung heißt: Betroffene müssen zu Beteiligten werden.
PSW nennt als ein gutes Beispiel für eine gelungene Sensibilisierungskampagne Microsoft Deutschland. Das Unternehmen startete eine Undercover-Security-Awareness-Kampagne unter dem Titel „Microsoft jagt das Phantom“: Ein Dienstleister ritt insgesamt fünf verschiedene Angriffe – vom unerlaubten Zutritt ins Gebäude bis hin zum per Social Engineering erschlichenen Passwort –, die von den zuvor grob informierten Mitarbeitern abzuwehren waren. Das Fazit: Die Informationssicherheit bei Microsoft verbesserte sich messbar. Läuft diese Sensibilisierung kontinuierlich weiter, ist ihr der Erfolg sicher, so PSW.
Fazit: Sensibilisierung auf Dauer
Drei Schritte führen den Fachleuten zufolge zu einer stärkeren Sensibilisierung:
- Eine Ist-Analyse, die das aktuelle Niveau und Datenschutzbewusstsein der Mitarbeiter festhält. Dabei sollte jeder Mitarbeiter einbezogen werden und auf sein Sicherheitsbewusstsein geprüft werden.
- Den Willen wecken – Informationssicherheit und Datenschutz greifen häufig tief in den Arbeitsalltag ein. Wird jeder Mitarbeiter dabei integriert, fördert dies die Sicht auf Risiken und Bedrohungen. „Jeder Mitarbeiter kann zum Sicherheitsrisiko oder zur Sicherheitschance werden“, betont PSW.
- Für Nachhaltigkeit sorgen – Sicherheit und Datenschutz müssen sich den Bedingungen des Unternehmens laufend anpassen. Sicherheit ist ein Prozess. Nachhaltige Sicherheitskonzepte müssen für Mitarbeiter sichtbar, nachvollziehbar und Bestandteil ihres Arbeitsalltags werden. Es geht nicht darum, lästige Vorschriften einzuhalten oder den persönlichen Handlungsspielraum einzuschränken, sondern darum, Sicherheit in der Praxis anzuwenden.
Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserem Magazin zur CeBIT 2015. Einen Überblick mit freien Download-Links zu sämtlichen Einzelheften bekommen Sie online im Pressezentrum des MittelstandsWiki.
Unternehmen sollten für Sicherheitsfragen am besten einen oder mehrere feste Ansprechpartner benennen. Und: Falls es bereits zu Sicherheitsrisiken oder -problemen gekommen ist, sollten diese möglichst konkret benannt werden. Nur so werden abstrakte Bedrohungsszenarien konkret greifbar.
Uli Ries ist freier Journalist und Autor mit abgeschlossene journalistischer Ausbildung und langjähriger Erfahrung (u.a. bei CHIP, PC Professionell und www.notebookjournal.de). Seine Spezialgebiete sind Mobilität, IT-Sicherheit und Kommunikation – zu diesen Themen tritt er immer wieder auch als Moderator und Fachreferent auf.
Kontakt via Xing
