sicherheitsrisiko mitarbeiter

Das unterschätzte Sicherheitsrisiko – die Mitarbeiter der Unternehmen

Die meisten Unternehmen sind zwischenzeitlich gut sensibilisiert gegenüber Bedrohungen durch Cyberangriffe und haben sich mit technischen Mitteln gut dagegen geschützt. Der Einsatz von Anti-Viren-Programmen, Firewalls, Verschlüsselungstechnologie und VPN ist in vielen Unternehmen zum Standard geworden. Die Verantwortlichen halten ihr Unternehmen daher für gut geschützt und fühlen sich sicher. Häufig ist diese gefühlte Sicherheit jedoch gefährlich. Denn das größte Sicherheitsrisiko geht nach einer aktuellen Studie des Ponemon Instituts von den Mitarbeitenden des Unternehmens aus.

Unachtsamkeit der Mitarbeitenden

Dabei geht es in den seltensten Fällen um Handlungen, die in betrügerischer oder bösartiger Absicht vorgenommen werden. In den meisten Fällen erfolgen Sicherheitsvorfälle durch unachtsames Verhalten der Mitarbeitenden.

Häufige Fehler hierbei sind:

  • Weitergabe von Benutzerkennungen an Kollegen aus Bequemlichkeit
  • Mitnahme von Daten auf unverschlüsselten Medien (z.B. USB-Stick)
  • Speichern von Unternehmensdaten in Cloud-Speichern von Drittanbietern
  • sorgloses Öffnen von Anlagen in E-Mails unbekannter Absender
  • wahlloses Öffnen unbekannter Seiten im Internet

Unternehmensrichtlinien sind nur ein erster Schritt

Ein erster Schritt, dies zu verhindern ist natürlich der Erlass von Unternehmensrichtlinien. Durch entsprechende Schulungen sollten diese Richtlinien den Mitarbeitenden im nächsten Schritt dann vermittelt und deren Ziele nähergebracht werden. Die Erfahrung zeigt leider, dass das Risiko damit zwar leicht eingedämmt werden kann, aber nicht in befriedigender Weise eliminiert wird. Zu hoch ist die Versuchung im Alltagsstress, meist in guter Absicht und um des Arbeitspensum noch zeitgerecht zu schaffen, die gebotene Vorsicht über Bord zu werfen. Am Ende wird dann eben doch der USB-Stick mit Hause genommen um übers Wochenende noch eine wichtige Arbeit zu beenden. Auch sind die Bedrohungen so vielfältig, dass es selbst IT-Spezialisten teilweise schwerfällt, jeden Versuch eines Angriffs zu erkennen. Man wird es den Mitarbeitenden der Personalabteilung schwerlich vorwerfen können, wenn sie das Word-Dokument einer per E-Mail eingehenden Bewerbung öffnen, um sich das Anschreiben und die Zeugnisse des Bewerbers näher anzusehen – gegebenenfalls kann nun eine im Dokument versteckte Malware aktiv werden und die Daten auf den Netzwerklaufwerken löschen oder verschlüsseln oder beispielsweise einen KeyLogger installieren.

Übrigens betrifft dies nicht nur Mitarbeitende der unteren Hierachieebenen. Der Anteil der Mitarbeitenden in leitenden Positionen, die sorglos mit den Daten umgehen ist identisch. Allerdings ist der entstehende Schaden meist deutlich größer.

Weiterführende Maßnahmen zur Erhöhung der Sicherheit

Alle Maßnahmen zur Sensibilisierung der Mitarbeiter müssen also flankiert werden von weiteren technischen oder organisatorischen Maßnahmen, die einen Angriff abwehren oder vermeiden können sowie Datenverlust verhindern können. Dazu gehören beispielsweise:

  • Implementierung von wirksamen Maßnahmen zur Endpoint-Security (Sperrung von USB-Ports, WLAN)
  • Verschlüsselung von mobilen Endgeräten und Datenträgern
  • Schutzmaßnahmen, die über den Einsatz von lokalen Firewalls und Virenschutzprogrammen hinausgehen (z.B. Verwendung von Malware-Analyseumgebungen)
  • Klare Regelungen zum Einsatz privater Endgeräte (aus Datenschutz-Sicht optimalerweise ein Verbot)
  • Implementierung von Systemen zum MDM (Mobile Device Management)

Welche Maßnahmen jeweils notwendig und sinnvoll sind, hängt vom Unternehmen und der Art und Menge der sensiblen Daten ab.

Gerne beraten wir Sie bei der Planung und Implementierung von Maßnahmen zur Sicherung Ihrer Unternehmensdaten. Sprechen Sie uns an!