Vier von zehn Angestellten achten im Büro nicht auf IT-Sicherheit
von Tina Siering
Die größten Bedrohungen für die IT-Sicherheit von Unternehmen
Bei Umfragen und Analysen finden sich in der Top 3 der größten IT-Bedrohungen für Unternehmen regelmäßig die Faktoren Mensch, Schadsoftware und ein Datenverlust. Dies zeigt, dass digitale Systeme nur so viel Sicherheit bieten, wie der Benutzer zulässt. Auch Bedrohungen durch Schadsoftware oder ein Datenverlust sind häufig auf fehlerhafte Aktionen eines Mitarbeitenden zurückzuführen. Dies sind beispielsweise eine vergessene Datensicherung oder der Anhang einer E-Mail, der unvorsichtigerweise geöffnet wurde.
In diesem Zusammenhang ist es interessant, dass Benutzer sich privat anders verhalten, als im Büro. Über 52 Prozent gaben bei einer Befragung an, am heimischen Rechner mehr Vorsicht walten zu lassen, als am Arbeitsplatz im Unternehmen. Fast 40 Prozent gaben an, dass sie im Büro am wenigsten vorsichtig sind.
Die Gründe dafür liegen in einem falschen oder fehlenden Verständnis für die Bedrohungen, die im digitalen Raum lauern. Am heimischen Rechner hingegen sind sich die Nutzer sehr wohl im Klaren darüber, welche Konsequenzen drohen, wenn Cyberkriminelle beispielsweise an die eigenen Zugangsdaten für das Onlinebanking gelangen. Im Büroalltag dagegen vertrauen die Mitarbeitenden darauf, dass die firmeneigene IT Security für die Sicherheit garantiert. Auch gehen die Angestellten davon aus, dass bei einem Ausfall des eigenen PCs, zum Beispiel durch Schadsoftware, der Austausch des eigenen Rechners ausreicht, um das Problem zu beheben. Viele wissen einfach nicht, dass Hacker den Zugang zu einem Computer nutzen, um das gesamte Netzwerk zu infiltrieren. Dementsprechend unvorsichtig geht diese Gruppe von Mitarbeitenden mit dem Thema IT-Sicherheit um.
Welche Maßnahmen eignen sich als Prävention und Reaktion auf diese Situation?
Die zentrale Herausforderung bei dieser Situation ist es, die Mitarbeitenden besser zu schulen. Die absolute Mehrheit der unvorsichtigen Angestellten ist nicht aus böser Absicht heraus nachlässig bei der IT-Sicherheit, sondern schlicht aus Unwissenheit.
Die Aufgabe der Unternehmensführung sowie der IT-Sicherheit ist es also, jeden Mitarbeitenden zum Teil der Sicherheitsstrategie zu machen. Dies lässt sich im Rahmen von Schulungen und Fortbildungen zum Thema IT-Sicherheit vermitteln. Nur wenn die Angestellten verstehen, welche Bedrohungen existieren und welche Schäden durch diese drohen, entsteht ein Bewusstsein für die IT-Sicherheit.
Ein wichtiger Teil der Schulung ist es weiterhin, die Mitarbeitenden über die konkreten Bedrohungen zu informieren. Viele Angestellte erzeugen Cybervorfälle, weil sie nicht ausreichend im Umgang mit digitalen Systemen geschult sind. Social Engineering und Phishing sind hier nur zwei von vielen Bedrohungen, die die Mitarbeitenden kennen müssen. Anhand von konkreten Beispielen lässt sich zeigen, wie ein gefährlicher Mail-Anhang aussieht.
Klare Regeln sind ebenfalls hilfreich bei der Minimierung von Cyberbedrohungen. Existieren keine Richtlinien, welche Informationen die Mitarbeitenden per Telefon oder Mail herausgeben dürfen, kann es immer wieder vorkommen, dass Cyberkriminelle Daten extrahieren.
Darüber hinaus ist es wichtig, dass die IT Security über die passenden Werkzeuge verfügt, um etwaige Sicherheitsverletzungen schnellstmöglich zu identifizieren. Hier weisen viele Unternehmen und IT-Sicherheitsabteilungen weiterhin Lücken auf. Aktive Systeme für die Cybersicherheit, in erster Linie die Angriffsfrüherkennung, sind das geeignete Mittel, um für ein hohes Sicherheitsniveau zu sorgen.
Die Angriffsfrüherkennung identifiziert ungewöhnliche Aktionen, die auf Aktivitäten von Hackern hinweisen. Dies sind beispielsweise Zugriffe von Command and Control Servern, nachdem ein Mitarbeitender aus Versehen einen infizierten Mail-Anhang ausgeführt hat. Aber auch Mitarbeitende, die als Innentäter agieren und beispielsweise vertrauliche Daten auf Server außerhalb des Netzwerks transferieren, lösen bei der Angriffsfrüherkennung einen Alarm aus. Da das System diese Alarmmeldungen unmittelbar nach dem Vorfall versendet, hat die IT Security die Möglichkeit, unverzüglich auf diese Szenarien zu reagieren. Sicherheitsschutzverletzungen lassen sich so direkt unterbinden und Schaden wird vom Unternehmen abgewendet.
Weitere hilfreiche Maßnahmen sind Vorkehrungen, die Schäden durch unachtsame Aktionen der Mitarbeitenden direkt unterbinden oder unmöglich machen. Dazu gehört beispielsweise die Einführung einer internen Kommunikationsplattform wie Microsoft Teams. Dies trennt die interne Kommunikation von der E-Mail, wo Kriminelle sich immer wieder als Mitarbeitende des Unternehmens ausgeben, um Daten abzugreifen oder Phishing-Versuche zu starten. Sinnvoll ist es weiterhin, mit Gruppenrichtlinien und Zugriffsbeschränkungen die Reichweite der Nutzerkonten auf das Notwendigste zu beschränken. Ebenso hilfreich ist es, im Unternehmensnetzwerk ActiveX-Steuerelemente zu deaktivieren, denn diese sind häufig das Ziel für Schadcode.
Fazit zur IT-Sicherheit im Büroalltag
Erneut zeigen Umfragen und Statistiken, dass die IT-Bedrohungen für Unternehmensnetzwerke aus allen Richtungen kommen. Unternehmen, die sich ausschließlich auf externe Bedrohungen konzentrieren, haben also große Lücken in ihrer Cyberverteidigung.
Der Schlüssel zu einem hohen Sicherheitsniveau in der IT ist eine Sicherheitsstrategie, die alle potenziellen Gefahrenquellen berücksichtigt. Dazu gehören auch die eigenen Mitarbeitenden. Mit gezielten Schulungen sowie Sicherheitslösungen wie der Angriffsfrüherkennung lässt sich das Niveau der IT-Sicherheit deutlich steigern.
Die zunehmende Digitalisierung sowie die Abhängigkeit von der IT erfordern es, die IT-Sicherheitsstrategie entsprechend anzupassen und die IT Security adäquat auszurüsten.