Der Faktor Mensch & unsere IT – Unterschätzte Sicherheitslücke?

Sicherheitslücke Mensch

Eine Kette ist nur so stark wie ihr schwächstes Glied. Dieses Bild können wir alle gut nachvollziehen. Dasselbe gilt auch bei jedem IT-Setup. Ein Unternehmen kann über die neueste Hardware und Software verfügen, sich hinter einer ausgeklügelten Firewall verstecken, die beste IT-Betreuung genießen und doch gibt es diesen limitierenden Faktor in der Kette auch hier: der „Faktor Mensch“. Wie viel und welche Auswirkung hat der Faktor Mensch wirklich? Warum wird er noch immer zu selten einbezogen?

Die zwei Aspekte menschlicher Schwachstellen in Bezug auf IT

In Teil 1 unserer Reihe Faktor Mensch haben wir uns der Herausforderung von einer anderen Seite genähert: Wie können wir als Mitarbeiter dazu beitragen, das Potential bestehender IT voll auszuschöpfen. Die „Quick Wins“ der IT, mit denen Teams und einzelne selbst befähigt werden, ihren Arbeitsalltag effizienter und sicherer zu bestreiten.

Die zweite Schwachstelle des Menschen in Interaktion mit Unternehmens-IT kann weit stärker ins Gewicht fallen. Sie birgt Gefahren, die nicht wie beim verschlafenen Potential Sekunden oder Minuten kosten, sondern Tage bis Wochen: Wir machen sehr normale, menschliche Fehler, die sich teils extrem auf Sicherheit und Funktionalität auswirken. Im schlimmsten Fall wird eine ganze Organisation über viele Wochen lahmgelegt und bestehende IT-Systeme unbrauchbar.

Mitarbeiter stehen im Fokus von Cyberkriminellen

Denn auch Cyberkriminelle haben den Menschen als Schwachstelle erkannt und ihn ins Zentrum der Angriffe gerückt. Warum? Sich à la Spionagefilm von außen, ohne Hilfe von innen, in ein System zu hacken, ist verdammt zeitintensiv. Technische Schwachstellen müssen in Unmengen von Code ausfindig gemacht und aufwendig umgangen werden. Die Nadel im Heuhaufen also. Aus der Sicht der Kriminellen gesprochen lohnt sich das vielleicht bei übermäßig zahlungskräftigen Weltkonzernen, wegen groß angelegter Wirtschaftsspionage oder wegen eines politischen Hintergrunds. Ein Großteil der Leser wird sich zumindest hier nicht als Hauptzielgruppe wiederfinden.

Der Faktor Mensch im Fokus von Cyberkriminellen

Weitaus verbreiteter ist der kriminelle Ansatz, schnell und einfach an Geld zu kommen. Und das funktioniert am besten, wenn man vollkommen willkürlich eine Menge Unternehmen zeitgleich ins Visier nimmt. Denn Unternehmen – egal ob Startup, 20 Mann & Frau Betrieb oder kleiner Mittelstand – generieren Umsatz und erwirtschaften Gewinne. Geld – in welcher Höhe auch immer – ist also da. Die Masse macht’s. Und die Mitarbeiter sind durch ihre Tätigkeiten online das ideale Einfallstor. Das Ziel: Zugangsdaten und Zahlungsmittel-Informationen abgreifen, diese für eigene Zwecke missbrauchen oder weiterverkaufen. Der ‚eigene Zweck‘ bedeutet in vielen Fällen, das Einschleusen von Daten-Verschlüsselungssoftware, eines Erpressungstrojaners.

Die harten Fakten sprechen für sich

So hat das Kaspersky Lab in Zusammenarbeit mit B2B International 2017 in einer Umfrage herausgefunden, dass 46 % der Sicherheitsvorfälle durch leichtsinnige oder unwissende Mitarbeiter verursacht werden. Dabei geht die subjektive Einschätzung sogar noch weiter: Laut des Cyber-Security Reports von Deloitte 2017 nennen 75 % der befragten Führungskräfte und Politiker als Sicherheitsrisiko die Mitarbeiter. Ein eindeutig negativer Platz 1.

Sicherheitsvorfälle nehmen zu

Allein diese Zahlen und Einschätzungen sollten dazu beitragen, dass wir der Problematik mehr Aufmerksamkeit schenken, Prävention betreiben und gegensteuern. Dem Team grundsätzlich Vertrauen auszusprechen, auf deren Kompetenz zu bauen ist immens wichtig, aber hier keineswegs als Widerspruch anzusehen. Fehler passieren. Und Sicherheitsvorfällen auszuweichen wird immer schwieriger. Die KPMG hat dazu im Juni 2020 in Zusammenarbeit mit Bitcom Research eine Umfrage unter 555 deutschen Unternehmen veröffentlicht. Die Frage: Gab es in den letzten 12 Monaten in Ihrem Unternehmen Vorfälle im Hinblick auf die Datensicherheit Ihrer IT-Systeme? Das Ergebnis: nur 25 % der teilnehmenden Firmen konnten die Frage klar mit „nein“ beantworten.

Ein falscher Klick – was ist, wenn’s passiert?

Nicht immer kann das Team allein für seine Unachtsamkeiten verantwortlich gemacht werden. Denn das von Mitarbeitern ausgehende Risiko ist vielschichtig:  Wichtige Daten verschwinden, ob mutwillig oder durch ein Versehen. Auch der Umgang mit sensiblen Zugangsdaten mag an mancher Stelle fahrlässig sein. Ein nicht unerhebliches Risiko geht zudem vom Einsatz privater USB-Sticks oder eines im Unternehmen nicht abgesegneten Cloud-Dienstes mit Sicherheitsmängeln aus. Und zuletzt bleibt noch der berühmte „falsche Klick“: es ist leider inzwischen oft schwierig, mit Ransomware befallene E-Mails zu enttarnen und nicht darauf reinzufallen.

Kennen Sie Ihre Risikofaktoren?

Man merkt, einiges davon passiert versteckt im Hintergrund. So sind vielen Unternehmen ihre Schwachstellen gar nicht bewusst. Nicht immer wird sich ein Sicherheitsvorfall genau auf eine Person zurückverfolgen lassen. Dazu aber ein ganz klarer Appell: Stellen Sie Ihre Mitarbeiter nicht an den Pranger. Überlegen Sie wie es dazu kommen konnte. Brauchen wir gezielte Schulungen? Ist unser IT-System unvollständig und bietet nicht die Möglichkeiten, um unsere Mitarbeiter zu befähigen? Braucht es klare Leitfäden? Die eindeutige Experten Empfehlung lautet aber: Prävention! Steuern Sie im Vorhinein entgehen, den Ernstfall will niemand – insbesondere aus finanzieller Sicht.

Mehr Facts & Tipps zum Thema

Lesen Sie auch:

Faktor Mensch & unsere IT – Teil 1: Nicht nur Sicherheits-Schwachstelle – Quick Wins um das volle Potential bestehender IT für reibungsloses Arbeiten auszunutzen.

Faktor Mensch & unsere IT – Teil 3: Prävention & Gegenmaßnahmen – Wie kann moderne Technik dabei helfen, unsere Fehler abzufangen?