Volker Marschner

ist Security Consultant bei Cisco Security und kennt die aktuellen Sicherheitsrisiken.

Sicherheit geht jeden an – auch die Mitarbeiter

Schon kleine Tipps für den Arbeitsalltag können vor großem Schaden bewahren, weiß Cisco-Sicherheitsexperte Volker Marschner. Denn keine Sicherheitstechnologie dieser Welt ist gut genug, um die Gutgläubigkeit von ungeschulten Mitarbeitern auszubügeln.

“Die Bildung wird täglich geringer, weil die Hast größer wird.” Dies erkannte Friedrich Wilhelm Nietzsche schon 1880. Entsprechend setzen Unternehmen meist auf schnelle technische Lösungen und stellen die aufwändige Weiterbildung der Mitarbeiter zurück. Dies gilt auch bei der IT-Sicherheit. Zwar lässt sich diese nicht ohne Technologie verbessern, doch genauso wichtig ist der Umgang damit. Daher gilt Sicherheit auch als Herausforderung für die Nutzer, die sich nur durch entsprechende Weiterbildung bewältigen lässt.

Dafür sind mehrere Aspekte zu berücksichtigen: Erstens sind die Anwender leichte Ziele. Angreifer kompromittieren ihre Systeme und erhalten darüber Zugang zu Unternehmensnetzwerken und Daten. Sie verwenden dafür Techniken wie:

  • “Watering Hole”-Attacken auf spezifische branchenbezogene Websites, um diese mit Schadprogrammen zu infiltrieren
  • Malvertising zur Infektion während des normalen Internet-Surfens, wobei nicht einmal ein Klick auf die Anzeige nötig ist
  • Spam-Mails, die scheinbar von bekannten Unternehmen stammen, aber Links auf schädliche Sites enthalten
  • Anwendungen von Drittanbietern mit Malware, die von bekannten Online-Shops heruntergeladen werden

Zweitens sehen Anwender Sicherheitsvorgaben häufig als Hindernis für das Erledigen ihrer Arbeit. Zum Beispiel weichen sie während der Behebung eines Problems durch die IT-Abteilung oft auf private E-Mail-Accounts und Geräte aus und speichern dafür Dateien auf USB-Sticks, versenden Dokumente oder drucken diese aus, um ihren Job zu erledigen – entgegen eindeutiger Unternehmensrichtlinien. Spätestens beim Zurückspielen der Dateien auf die Firmensysteme ist dann das alte Problem wieder da.

Drittens erschwert der Fachkräftemangel die Bewältigung der ständig zunehmenden Aufgaben im Bereich IT-Sicherheit. Viele Unternehmen haben bereits Schwierigkeiten, genügend Sicherheitsexperten einzustellen und zu halten, um ein hohes Schutzniveau zu gewährleisten.

Um diese Art von Schwachstellen zu beheben, müssen unternehmensweit auf allen Ebenen Trainings durchgeführt werden. Dazu gehört eine kontinuierliche Weiterbildung der Anwender zu sicheren Nutzung der Systeme, damit sie mögliche Schadprogramme erkennen und nicht anklicken. Sie müssen auch verstehen, wann und wie sie ihren Arbeitgeber über verdächtige Vorfälle informieren sollen, damit künftige Angriffsversuche verhindert werden. Die Erhöhung der Aufmerksamkeit und einfache Tipps wie das Fahren mit der Maus über einen Link, um die Adresse zu prüfen, oder keine Anhänge von unbekannten Absendern zu öffnen sowie der Zugang zu sofortigen Hilfestellungen bei Fragen helfen ebenfalls beim Kampf gegen Cyberkriminelle.

Sicherheits- und Geschäftsverantwortliche müssen bei der Durchführung der Maßnahmen eng zusammenarbeiten. Ursache für viele Sicherheitsprobleme sind mangelnde Betriebsreife oder -funktionen, die zu schwachen oder fehlenden Kontrollen führen. Ein praxisfähiger Sicherheitsansatz umfasst die kontinuierliche Optimierung der Prozesse, basierend auf einem umfassenden Blick auf die Risiken. Da IT-Sicherheit immer mehr zu einem strategischen Ziel wird, müssen Unternehmen auch hoch standardisierte und ständig überprüfte Geschäftsprozesse einsetzen. Dabei ist regelmäßig zu kontrollieren, ob die strategischen Ziele erreicht werden. Dazu müssen Sicherheits- und Geschäftsverantwortliche gemeinsam im kontinuierlichen Dialog die Maßnahmen prüfen, weiterentwickeln und durchsetzen. Nur dann können die Sicherheitsmaßnahmen inakzeptable Risiken vermeiden und Mehrwerte für das Geschäft bieten.

Unternehmen müssen zudem dafür sorgen, dass ihr IT-Sicherheitsteam immer auf dem aktuellen Stand in Sachen Bedrohungslandschaft und Sicherheitsansätze bleibt. Dies erhöht nicht nur die Effektivität der Maßnahmen, sondern hilft auch bei der Anwerbung von Fachkräften. Sie benötigen und erwarten eine fortwährende Weiterbildung und Zertifizierung mit einem speziellen Fokus auf die Identifizierung und Klassifizierung von Vorfällen sowie der Blockierung und Entfernung von Schadsoftware. Gleichzeitig erhöht ein Training zu modernen Sicherheitstechnologien die Betriebsreife. Zudem helfen etwa dynamische Kontrollen dabei, Sicherheitsmaßnahmen nicht mehr als “Geschäftshindernis” zu sehen. Sie unterstützen nämlich die Anwender, besser, schneller und mit weniger Einschränkungen zu arbeiten.

Es gibt viele verschiedene Typen von Schwachstellen in den Systemen und Prozessen, die wir nutzen. Es gibt aber auch viele verschiedene Maßnahmen, um sie zu reduzieren. Statt sich instinktiv zuerst der Technologie zuzuwenden, sollten Unternehmen die Sicherheit auch als menschliches Problem sehen und für eine effektive Weiterbildung aller Mitarbeiter sorgen. Einen optimalen Schutz kann ein Unternehmen nämlich nur dann erreichen, wenn alle Beteiligten – Menschen und Maschinen – koordiniert zusammenarbeiten.