IT-Sicherheit: Mensch als größte Schwachstelle

Die Technik im Griff zu haben, ist eine Sache. Ebenso bedeutend ist aber die Motivation der Arbeitnehmer. "100 Prozent des Know-hows geht am Abend nach Hause. Das heißt, dass der Faktor Mensch der Schlüssel ist", erklärte Maximilian Burger-Scheidlin, Geschäftsführer der ICC Austria bei einer Podiumsdiskussion der APA-E-Business-Community in Wien. [...]

IT-Sicherheit beginne bei der Personalauswahl, der Einbindung in Entscheidungsprozesse und dem Führungsstil. Denn: Frust, Mobbing und unmoralisch handelnde Vorgesetzte würden firmeninternem Betrug, Sabotage und Spionage den Boden bereiten. Auf diese Aspekte habe der CIO keinen Einfluss, hier würden aber die Probleme beginnen.

Wer unzufrieden sei, stelle eine Schwachstelle dar – „und das ist die Basis für böse Attacken“. „Ein Großteil der Spionage fällt den Unternehmen nicht auf. Wenn man dann draufkommt, wird alles unter den Teppich gekehrt“, sagte Burger-Scheidlin. Nicht nur Großunternehmen stünden im Visier von Angriffen. Auch kleine Unternehmen, die in ihrer Nische am Weltmarkt mitmischen, seien beliebte Ziele.

„Das Thema Industriespionage ist stark im Vormarsch und nutzt für den ‚Erstkontakt‘ unter anderem Social-Engineering-Methoden und natürlich Social Media“, betonte auch Thomas F. Blaschka von Kapsch. Er empfiehlt den Unternehmen durchzuspielen, was im Ernstfall passieren kann, um Routinen zu entwickeln und eine schnelle Reaktion sicherzustellen.

KRISENSZENARIEN DURCHSPIELEN
„Sicherheit soll aber ermöglichen, nicht verhindern. Wenn ich Mitarbeitern, die frisch von der Uni kommen, die Social-Media-Nutzung einfach verbiete, sind sie nach zwei Monaten wieder weg“, so Blaschka. Entsprechende Konzepte dürften außerdem nicht zu kompliziert sein: „Unser Sicherheitshandbuch hat beispielsweise zwölf Seiten.“ Einzigartig an Österreich sei, dass hierzulande beim Thema IT-Sicherheit sogar der Austausch mit Mitbewerbern funktioniere.

„Die Kommunikation entsprechender Informationen ist wichtig, nur so kommen wir voran“, gab sich auch Tanja Zseby von der Technischen Universität (TU) Wien überzeugt. Sie bemängelte ebenfalls, dass Sicherheitsvorfälle zu oft unter den Teppich gekehrt werden. Neben der eigentlichen Gefahrenabwehr müssten zusätzlich die Netze überwacht werden, um ungewöhnliche Aktivitäten im Netz erkennen zu können. „Angriffsszenarien sind heute dank Web 2.0 und mobiler Endgeräte auch bei vermeintlich gut geschützten Unternehmen wesentlich einfacher“, meint Mario Rys von Nextiraone. Wichtig sei ein Sensorium, damit Unregelmäßigkeiten überhaupt auffallen. Oft mangle es auch an Awareness: „Was kann man mir schon stehlen?“, werde oft gefragt. Wichtig sei eine „gleichmäßige“ Sicherheit. „Das heißt, dass auch kleine Dienstleister ein ähnliches Sicherheitsniveau wie man selbst aufweisen müssen“, so Rys.

NEUE HERAUSFORDERUNG
Dass IT-Sicherheit nicht funktioniert, egal wie ausgereift die Technik ist, wenn man den Faktor Mensch nicht im Griff hat, zeige auch der Trend zu „Bring Your Own Device“, so Bernd Kolinowitz von A1 Telekom Austria. Jahrelang seien die Unternehmensnetze abgesichert worden, „und dann stürmen die Mitarbeiter mit ihren privaten Geräten rein“, erklärte Kolinowitz. „Es ist ja gut, wenn mobil gearbeitet werden kann. Andererseits muss man sich überlegen, ob nicht Einschränkungen beim Zugriff notwendig sind.“

Bei BYOD seien zwei Aufgaben zu erfüllen, so Gerald Kortschak von der WKO: Einerseits müssten Verhaltensrichtlinien eingeführt werden und andererseits die IT-Verantwortlichen das Know-how haben, sich bei den verwendeten Geräten auch auszukennen. Er bestreitet außerdem, dass es in Klein- und Mittelunternehmen (KMU) schlechter um die IT-Sicherheit bestellt ist. „Das ist nicht so einfach vergleichbar“, sagte Kortschak. (aw/apa)


Mehr Artikel

News

Große Sprachmodelle und Data Security: Sicherheitsfragen rund um LLMs

Bei der Entwicklung von Strategien zur Verbesserung der Datensicherheit in KI-Workloads ist es entscheidend, die Perspektive zu ändern und KI als eine Person zu betrachten, die anfällig für Social-Engineering-Angriffe ist. Diese Analogie kann Unternehmen helfen, die Schwachstellen und Bedrohungen, denen KI-Systeme ausgesetzt sind, besser zu verstehen und robustere Sicherheitsmaßnahmen zu entwickeln. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*