Sicherheit geht jeden an – auch die Mitarbeiter

“Die Bildung wird täglich geringer, weil die Hast größer wird.” Dies erkannte Friedrich Wilhelm Nietzsche schon 1880. Entsprechend setzen Unternehmen meist auf schnelle technische Lösungen und stellen die aufwändige Weiterbildung der Mitarbeiter zurück. Dies gilt auch bei der IT-Sicherheit. Zwar lässt sich diese nicht ohne Technologie verbessern, doch genauso wichtig ist der Umgang damit. Daher gilt Sicherheit auch als Herausforderung für die Nutzer, die sich nur durch entsprechende Weiterbildung bewältigen lässt.

Dafür sind mehrere Aspekte zu berücksichtigen: Erstens sind die Anwender leichte Ziele. Angreifer kompromittieren ihre Systeme und erhalten darüber Zugang zu Unternehmensnetzwerken und Daten. Sie verwenden dafür Techniken wie:

  • “Watering Hole”-Attacken auf spezifische branchenbezogene Websites, um diese mit Schadprogrammen zu infiltrieren
  • Malvertising zur Infektion während des normalen Internet-Surfens, wobei nicht einmal ein Klick auf die Anzeige nötig ist
  • Spam-Mails, die scheinbar von bekannten Unternehmen stammen, aber Links auf schädliche Sites enthalten
  • Anwendungen von Drittanbietern mit Malware, die von bekannten Online-Shops heruntergeladen werden

Zweitens sehen Anwender Sicherheitsvorgaben häufig als Hindernis für das Erledigen ihrer Arbeit. Zum Beispiel weichen sie während der Behebung eines Problems durch die IT-Abteilung oft auf private E-Mail-Accounts und Geräte aus und speichern dafür Dateien auf USB-Sticks, versenden Dokumente oder drucken diese aus, um ihren Job zu erledigen – entgegen eindeutiger Unternehmensrichtlinien. Spätestens beim Zurückspielen der Dateien auf die Firmensysteme ist dann das alte Problem wieder da.

Drittens erschwert der Fachkräftemangel die Bewältigung der ständig zunehmenden Aufgaben im Bereich IT-Sicherheit. Viele Unternehmen haben bereits Schwierigkeiten, genügend Sicherheitsexperten einzustellen und zu halten, um ein hohes Schutzniveau zu gewährleisten.

Um diese Art von Schwachstellen zu beheben, müssen unternehmensweit auf allen Ebenen Trainings durchgeführt werden. Dazu gehört eine kontinuierliche Weiterbildung der Anwender zu sicheren Nutzung der Systeme, damit sie mögliche Schadprogramme erkennen und nicht anklicken. Sie müssen auch verstehen, wann und wie sie ihren Arbeitgeber über verdächtige Vorfälle informieren sollen, damit künftige Angriffsversuche verhindert werden. Die Erhöhung der Aufmerksamkeit und einfache Tipps wie das Fahren mit der Maus über einen Link, um die Adresse zu prüfen, oder keine Anhänge von unbekannten Absendern zu öffnen sowie der Zugang zu sofortigen Hilfestellungen bei Fragen helfen ebenfalls beim Kampf gegen Cyberkriminelle.

Sicherheits- und Geschäftsverantwortliche müssen bei der Durchführung der Maßnahmen eng zusammenarbeiten. Ursache für viele Sicherheitsprobleme sind mangelnde Betriebsreife oder -funktionen, die zu schwachen oder fehlenden Kontrollen führen. Ein praxisfähiger Sicherheitsansatz umfasst die kontinuierliche Optimierung der Prozesse, basierend auf einem umfassenden Blick auf die Risiken. Da IT-Sicherheit immer mehr zu einem strategischen Ziel wird, müssen Unternehmen auch hoch standardisierte und ständig überprüfte Geschäftsprozesse einsetzen. Dabei ist regelmäßig zu kontrollieren, ob die strategischen Ziele erreicht werden. Dazu müssen Sicherheits- und Geschäftsverantwortliche gemeinsam im kontinuierlichen Dialog die Maßnahmen prüfen, weiterentwickeln und durchsetzen. Nur dann können die Sicherheitsmaßnahmen inakzeptable Risiken vermeiden und Mehrwerte für das Geschäft bieten.

Unternehmen müssen zudem dafür sorgen, dass ihr IT-Sicherheitsteam immer auf dem aktuellen Stand in Sachen Bedrohungslandschaft und Sicherheitsansätze bleibt. Dies erhöht nicht nur die Effektivität der Maßnahmen, sondern hilft auch bei der Anwerbung von Fachkräften. Sie benötigen und erwarten eine fortwährende Weiterbildung und Zertifizierung mit einem speziellen Fokus auf die Identifizierung und Klassifizierung von Vorfällen sowie der Blockierung und Entfernung von Schadsoftware. Gleichzeitig erhöht ein Training zu modernen Sicherheitstechnologien die Betriebsreife. Zudem helfen etwa dynamische Kontrollen dabei, Sicherheitsmaßnahmen nicht mehr als “Geschäftshindernis” zu sehen. Sie unterstützen nämlich die Anwender, besser, schneller und mit weniger Einschränkungen zu arbeiten.

Es gibt viele verschiedene Typen von Schwachstellen in den Systemen und Prozessen, die wir nutzen. Es gibt aber auch viele verschiedene Maßnahmen, um sie zu reduzieren. Statt sich instinktiv zuerst der Technologie zuzuwenden, sollten Unternehmen die Sicherheit auch als menschliches Problem sehen und für eine effektive Weiterbildung aller Mitarbeiter sorgen. Einen optimalen Schutz kann ein Unternehmen nämlich nur dann erreichen, wenn alle Beteiligten – Menschen und Maschinen – koordiniert zusammenarbeiten.

Martin Schindler

Martin Schindler schreibt nicht nur über die SAPs und IBMs dieser Welt, sondern hat auch eine Schwäche für ungewöhnliche und unterhaltsame Themen aus der Welt der IT.

Recent Posts

Cloud-Beschleuniger Covid

Vielfach hat die Coronapandemie bestehende IT-Strukturen aufgebrochen oder gar über den Haufen geworfen – gefühlt.…

10 Monate ago

Trends 2021 – Vier Entwicklungen bei (Graph)Datenbanken und Datenanalyse

Das Covid-Jahr 2020 konnte die digitale Transformation nicht ausbremsen. Sogar ganz im Gegenteil: Viele Unternehmen…

12 Monate ago

Ein globales digitales Identitätssystem muss Vertrauen und Transparenz schaffen

Nach Angaben der Weltbank fehlt mehr als einer Milliarde Menschen ein offizieller Identitätsnachweis. Ohne den…

12 Monate ago

Nachhaltigkeit wird zu einem der Schlüsselkriterien in der Tech-Industrie

Das Thema Nachhaltigkeit ist seit vielen Jahren fester Bestandteil des Selbstverständnisses vieler Unternehmen. Wenig verwunderlich,…

12 Monate ago

Chief Data Officer: Garanten für eine stärkere Datennutzung in Unternehmen

Unternehmen sammeln eine Vielzahl von Daten. Doch IDC Analysten fanden in ihrer aktuellen Studie „IDC‘s…

12 Monate ago

Ethik, Regulierungen, Cloud: Der Nebel lichtet sich

COVID-19 hat 2020 sowohl Gesellschaft als auch Wirtschaft bestimmt. Unbestritten ist auch die katalytische Wirkung,…

1 Jahr ago