In Bezug auf die IT-Sicherheit von Unternehmen wird der Faktor Mensch noch immer häufig nicht berücksichtigt. Ein Paradoxon, da der Benutzer am Bildschirm an erster Stelle in der Sicherheitskette steht und somit auf einfache Weise die beste Schutzmauer bei IT-Risiken darstellen kann. Vorausgesetzt natürlich, dass er sich der Sicherheitsprobleme bewusst ist und entsprechend geschult wird.

Die meisten Computerprobleme sitzen zwischen Tastatur und Stuhl.“ Hinter dem berühmten Spruch des deutschen Philosophen Klaus Klages verbirgt sich eine Realität, mit der die Informationssystemleiter (DSI) und die für die Sicherheit von Informationssystemen zuständigen Mitarbeiter (RSSI) von Unternehmen tagtäglich konfrontiert werden: Der Endbenutzer mit seinen schlechten Angewohnheiten befindet sich sehr häufig an erster Stelle in der Kette der IT-Sicherheit.

Das Öffnen verdächtiger Internetseiten, infizierte Datenanhänge oder die Benutzung beschädigter Programme – Möglichkeiten zur Virenverseuchung des Computers gibt es viele. Damit gehen automatisch eine Welle von Enttäuschungen und erzwungener Datendiebstahl bis hin zu Spionage über die Webcam oder das Mikrofon einher. Laut der von PwC durchgeführten Untersuchung The Global State of Information Security® Survey 2017 schätzt fast jedes dritte französische Unternehmen (32,2 %), dass seine Mitarbeiter unfreiwillig der Ausgangspunkt einiger im Jahr 2016 erlittener Computerangriffe waren. „Es ist richtig, dass die einfachste Weise, in ein Informationssystem einzudringen, darin besteht, als Zugang die Informatikressourcen eines normalen Benutzers zu verwenden. Ein Mitarbeiter, der sich dieser Risiken nicht bewusst ist und auch nicht auf bewährte Praktiken geschult wurde, ist das ideale Trojanische Pferd“, bestätigt Matthieu Bonenfant, Marketingleiter bei Stormshield.

 

Integration des Faktors Mensch in die Strategie der IT-Sicherheit

Die Sensibilisierung von Mitarbeitern eines Unternehmens im Hinblick auf die Cybersicherheitsanforderungen ist nicht nur eine Selbstverständlichkeit, sondern vor allem auch eine echte Notwendigkeit. „Ein entsprechend gewarnter Benutzer kann alleine schon viele Risiken vermeiden“, erinnert Matthieu Bonenfant. Die Bedrohungen sind nämlich häufiger auf unvorsichtige oder vom Pech verfolgte Mitarbeiter als auf wirklich Mitarbeiter mit bösen Absichten zurückzuführen.

Laut des Whitepaper IDC/Splunk (im Juni 2016 veröffentlicht) geben jedoch nur 12 % der befragten Unternehmen an, dass ihr größtes Problem auf Mitarbeiter zurückzuführende IT-Bedrohungen sind, wobei sich die Unternehmen lieber auf externe Computerangriffe konzentrieren möchten. Zu erwähnen ist jedoch, dass weniger als die Hälfte der befragten Unternehmen (41 %) ein internes CERT-Team (Computer Emergency Response Team) eingerichtet hat, das sich mit der Reaktion auf Zwischenfälle befasst.

Auch wenn die besonders anfälligen Zielgruppen (hochrangige Führungskräfte, Manager, Informatiker, Vorstandsassistenten und Finanzmanager) bezüglich einer Sensibilisierung offensichtlich Vorrang haben, so muss doch das gesamte Personal auf die IT-Sicherheit des Unternehmens geschult werden.

 

Methoden der Arbeitnehmersensibilisierung im Hinblick auf Cybersicherheit

Eine Mitarbeiterschulung für gute Gewohnheiten bezüglich IT-Sicherheit kann auf zahlreichen Tools basieren:

  • Informatik-Nutzungsbestimmungen, in denen bewährte Praktiken formalisiert und geteilt werden;
  • E-Learning-Sitzungen, in denen jeder einzelne Mitarbeiter nach eigenem Lerntempo geschult werden kann;
  • Gruppenschulungen zum Teilen von Erfahrungen und Emulationen;
  • Unterhaltsame und partizipative Einrichtungen wie beispielsweise Tests in Quizform, Tests für die Einbringung in Social Engineering und weitere ernsthafte Spiele;
  • Live-Hacking-Sitzungen (unechte Nachahmung eines Informatikangriffs).

Unabhängig vom Format, das das Unternehmen gewählt hat, müssen bei dieser Sensibilisierungsarbeit jedoch einige grundlegende Regeln beachtet werden:

  • Förderung und Unterstützung durch die Geschäftsleitung;
  • Vorschlagen praktischer Inhalte, die sich auf die reellen Nutzungen der Benutzer beziehen;
  • Begrenzung auf einige wichtige Themen, die im Zusammenhang mit dem Unternehmen am wichtigsten sind; diese Themen müssen allerdings detailliert behandelt werden;
  • Dialog mit vollständigen Teams und nicht nur mit einigen bestimmten Mitarbeitern;
  • Gleichzeitige Durchführung von Lerntests am Ende der Schulung;
  • Anbieten regelmäßiger Auffrischungsschulungen infolge der permanenten IT-Bedrohungsentwicklung.

Mattieu Bonenfant: „Die Sensibilisierung ist in einer mehrschichtigen Sicherheitspolitik anzuordnen, bei der der Endbenutzer die letzte Schicht darstellt. Letzterer darf auf keinen Fall als ein Problem, sondern eher als einer der Sicherheitshebel wahrgenommen werden.“ Ein wichtiges Detail, das, wenn es den Arbeitnehmern übermittelt wird, dazu beitragen kann, diesen entsprechendes Verantwortungsbewusstsein zu vermitteln.

Teilen auf

[juiz_sps buttons="facebook, twitter, linkedin, mail"]
Über den Autor
mm
Victor Poitevin Editorial & Digital Manager, Stormshield

Victor ist Digital Manager bei Stormshield. Er gehört zur Marketingdirektion und hat die Aufgabe, die Sichtbarkeit der Gruppe im Web zu verbessern. Websites, soziale Netzwerke, Blogs – das gesamte Ökosystem von Stormshield wird dafür herangezogen. Um die anderen digitalen Ambitionen der Gruppe umzusetzen, stützt er sich auf verschiedene Erfahrungen in einigen großen französischen und internationalen Konzernen sowie bei einer Publikationsagentur.