In einer Zeit, in der Malware immer ausgeklügelter wird, bleibt dennoch der Mensch einer der größten Risikofaktoren. Mehr Bildung und Aufklärung könnte Hackern das Leben zumindest deutlich schwerer machen. [...]
Mitarbeiter sind für fast die Hälfte aller IT-Security-Vorfälle in Unternehmen verantwortlich. Das hat eine Studie von Kaspersky Lab und B2B International ergeben. Verschärfend kommt hinzu, dass in 40 Prozent der Firmen die Mitarbeiter Sicherheitsverletzungen verheimlichen. Zwar ist Schadsoftware der häufigste Grund für Sicherheitsvorfälle in Unternehmen, doch unvorsichtige und schlecht informierte Mitarbeiter folgen knapp dahinter und sind für 46 Prozent der Vorfälle verantwortlich. Der Faktor Mensch bleibt also ein Dauerbrenner. Dafür dürften Kaspersky zufolge oft die Unternehmen mitverantwortlich sein, da strenge, unklare Richtlinien die Angst vor Strafe schüren.
Sinnvoller wäre es, Mitarbeiter zu informieren und zu bilden. Mehr Bildung könnte Hackern das Leben zumindest schwerer machen. Die technischen und wirtschaftlichen Auswirkungen von IT-Security-Vorfällen werden oft dadurch noch verschärft, dass Mitarbeiter diese verschweigen. „Cyber-Kriminelle nutzen oft Mitarbeiter als Einfallstor, um in die Unternehmens-Infrastruktur zu kommen“, betont Kaspersky-Forscher David Jacoby. So haben Hacker 2016 bei knapp einem Drittel der gezielten Angriffe auf ein Unternehmen mittels Phishing oder Social Engineering den Fuß in die Tür bekommen.
Genau hier will ACP mit einem neuen Angebot für Unternehmen ansetzen. Markus Riegler, Teamleiter Information Security bei ACP erklärt im COMPUTERWELT-Interview, wie diese Aufklärungskampagne konkret aussieht.
Was kann ACP tun, um die IT-Sicherheit im Unternehmen zu erhöhen?
Wir haben uns bei ACP im Team Information Security so positioniert, dass wir kein reiner Lösungslieferant oder ausschließlich Berater sind, sondern das Thema Security ganzheitlich betrachten. Man muss beispielsweise Ransomware nicht nur von der technischen Seite bekämpfen sondern auch den Faktor Mensch miteinbeziehen, da die Mitarbeiter hier eine sehr große Rolle spielen. Immer mehr Hacker verschaffen sich Zugang, indem menschliche Interaktionen provoziert werden, sprich Mitarbeiter dazu gebracht werden, Dateien aktiv zu öffnen, oder USB-Sticks aktiv an die Unternehmenshardware anzubinden um somit den Hackern Tür und Tor zu öffnen. Das funktioniert auch am Einfachsten, wie wir festgestellt haben. Das Ausnutzen von Gutgläubigkeit und Neugierde ist ein sehr probates Mittel und funktioniert fast zu 100 Prozent wenn es gut gemacht wird. Da setzten wir an. Es ist ja auch nicht so, dass die Mitarbeiter nicht gewarnt werden. Das wird aber noch zu oft ignoriert. Wenn ich im Auto fahre und die Tankanzeige leuchtet, weiß ich, dass ich bald tanken muss und andernfalls einfach ausrollen würde. Diese Awareness muss es im digitalen Bereich für die IT auch geben.
Wie sieht die Aufklärungsarbeit konkret aus?
Wir haben uns entschieden, die Mitarbeiter nicht offensiv mir den Fehlern zu konfrontieren sondern ihnen aufzuzeigen, wie leicht es gehen kann und welche schwerwiegenden Konsequenzen ein Fehlverhalten haben kann. Mit Live-Hacks und einem gewissen Show-Effekt haben wir die besten Erfahrungen gemacht und die Mitarbeiter sehen hautnah, welche Auswirkungen ein simpler Mausklick haben kann. Das macht es für die Mitarbeiter greifbar und damit verständlich.
Was ist denn die häufigste Methode um Mitarbeiter auszunutzen? Ein gefälschtes E-Mail ist doch sicher einfacher als einen USB-Stick ins Unternehmen zu schmuggeln.
Den USB-Stick einzuschmuggeln, ist erstaunlich einfach. Der wird am Firmenparkplatz abgelegt und mit einem Etikett mit dem Wort „Personalabteilung“ oder „Lohnverrechnung“ beschriftet. Damit wird die Neugierde geweckt, die irgendwann so groß ist, dass der USB-Stick angesteckt wird.
Wie sieht die Nachfrage von Seiten der Unternehmen aus?
Wir haben im vergangenen Jahr aufgrund von Kundenanfragen begonnen, diese Aufklärung anzubieten. Die Verantwortlichen haben auch verstanden, dass es nicht mehr nur um Technik geht sondern sehr stark um den Faktor Mensch. Die Mitarbeiter sitzen dabei in einem zweistündigen Training, das wie ein Workshop aufgebaut ist. Es kommt aber auch vor, dass wir ein E-Mail an die gesamte Belegschaft schicken und messen, wieviele es öffnen.
Hier geht es aber nicht darum, Individuen an den Pranger zu stellen sondern eine Awareness zu schaffen. Viele Mitarbeiter melden sich auch nicht, wenn ihnen ein Fehler passiert, weil sie sich schämen. Passieren kann das aber vom Vorstand abwärts jedem. Wir gratulieren den Mitarbeitern, wenn sie einen Vorfall melden.
Be the first to comment