Ein Einblick in Security Awareness – so können Mitarbeiter und Betriebsklima in Punkto Sicherheit beitragen

Markus Schaffrin, Geschäftsbereichsleiter Mitglieder Services, eco – Verband der deutschen Internetwirtschaft e. V.

 

 

 

Im Prinzip ist das Thema ja nicht neu – Berichte über Industriespionage oder Wettbewerbsausspähung geistern bereits seit Längerem durch die Fach- und Publikumspresse. Auch der Verfassungsschutz auf Länderebene – etwa in NRW oder Baden-Württemberg – klärt bereits seit Jahren Unternehmen darüber auf, dass bestimmte Nationen gesetzlich verankert haben, wie der Fortschritt im eigenen Land vorangetrieben werden soll; beispielhaft sei hier das Gesetz der russischen Föderation genannt, das in Artikel 5 dies genau festlegt: „durch Beschaffung von wirtschaftlichen und wissenschaftlich-technischen Informationen durch die Organe der Auslandsaufklärung“. Doch richtig wachgerüttelt wurden Bürger und Unternehmen in Deutschland erst kürzlich durch den NSA-Vorfall. Mit einem Mal wird offensichtlich, wie leicht andere Staaten unbefugt an Know-how gelangen.

Dieses Wissen stellt insbesondere Unternehmen vor die Frage: Was ist zu tun? Security Awareness könnte hier die mögliche Antwort sein. Das heißt mit anderen Worten: alle Mitarbeiter in den Unternehmen werden dahingehend geschult, Sicherheitsgefahren besser zu erkennen und entsprechend reagieren zu können. Hierfür ist die Sensibilisierung aller Mitarbeiter notwendig, die idealerweise auf verschiedenen Ebenen stattfinden sollte. Denn Angriffe können ebenso mit technischen Maßnahmen als auch im zwischenmenschlichen Bereich stattfinden.

Auch wenn sich dies auf den ersten Blick schlimm anhört – Beispiele zeigen, dass kein Anlass zur Resignation besteht. Ein Unternehmen, das bereits vor dem NSA-Vorfall hier etwas getan hat ist die Deutsche Telekom AG. Die Kampagne „Moment mal.“ 2012 – die im Jahr 2012 auf den Internet Security Days (ISD) vom eco präsentiert wurde – ist dezidiert auf das Thema Social Engineering zugeschnitten und klärt unter Einsatz verschiedener Medien die Mitarbeiter darüber auf, wie sie es vermeiden können, als Angriffsziel genutzt zu werden. (http://sicherheit.eco.de/files/2013/01/ISD2012_Moment_mal.pdf)

Warum ist gerade dies so wichtig? Dass Social Engineering überhaupt so erfolgreich betrieben werden kann liegt nicht zuletzt daran, dass mit dem Social Network im Prinzip das Ende der Privatsphäre eingeläutet wurde. Mit anderen Worten: zunehmend mehr Mitarbeiter geben immer mehr Informationen über sich (und ihren Arbeitgeber) preis, sodass einem Angreifer jede Menge Informationen aus den verschiedensten Quellen zur Verfügung stehen. Mittels derer kann er sich ein gutes Dossier über genau jenen Mitarbeiter anfertigen, den er für seine Zwecke instrumentalisieren möchte. Ein perfekter Ausgangspunkt also, um den Mitarbeiter zu manipulieren.

Eine Einschätzung zum Thema Security Awareness von Markus Schaffrin, Geschäftsbereichsleiter Mitglieder Services, eco – Verband der deutschen Internetwirtschaft e. V.:

xethix:  Ihre Einschätzung – sind Unternehmen überhaupt bereit in diesen Bereich zu investieren? Gibt es dazu belastbares Zahlenmaterial?

Markus Schaffrin: Die Antwort an dieser Stelle kann eigentlich nur lauten, leider immer noch zu wenig. Auch wenn die Aufmerksamkeit durch die Vorfälle der letzten Wochen und Monate bei den Unternehmen gestiegen ist, bedeutet dies noch lange nicht, dass die Investitionen nun zunehmen. Schaut man sich beispielsweise das IT-Sicherheitsniveau in kleinen und mittleren Unternehmen (eine Studie im Auftrag des Bundesministeriums für Wirtschaft und Technologie) an, so wird man feststellen, dass die Hauptursache möglicher IT-Probleme aus Sicht der kleinen und mittelständischen Unternehmen mit über 80 Prozent der Ausfall der Technik ist. Spionage und Manipulation durch Innentäter wird hingegen nur von 10 bis 20 Prozent der KMU als Problem gesehen. Folglich wird der Unternehmer eher in neue Festplatten, als in die Sensibilisierung seiner Mitarbeiter investieren. Quelle:http://www.bmwi.de/BMWi/Redaktion/PDF/S-T/studie-it-sicherheit,property%3Dpdf,bereich%3Dbmwi2012,sprache%3Dde,rwb%3Dtrue.pdf

xethix: Besteht tatsächlich ein großer Bedarf im Hinblick auf Schulungen oder sollten Unternehmen nicht eher in physische Sicherheit investieren?

Markus Schaffrin: Natürlich in beide Sachen. Aber oft lässt sich das Sicherheitsniveau schon durch sehr einfache Maßnahmen steigern. Beispielsweise in dem man den Mitarbeitern erklärt, wie man ein sicheres Kennwort wählt. Ein weiteres Beispiel wäre die Mitarbeiter über die Gefahren im Netz aufzuklären. Stichworte sind Schadsoftware, Botnetze, Phishing und Abofallen. Damit Firmen sich angemessen davor schützen können, müssen Sie zunächst wissen, welche Gefahren sie überhaupt erwarten. Dann können geeignete Schutzmaßnahmen ergriffen werden, diese müssen nicht zwangsläufig physischer Natur sein.

xethix: Ganz ehrlich – kann eine Aufklärung wirklich einen nachhaltigen Erfolg garantieren?

Markus Schaffrin: Ja, auf jeden Fall. Wie oft habe ich schon gehört, „dass habe ich überhaupt nicht gewusst, dass so etwas möglich ist!“ Oder von Unternehmern, „ich habe gedacht mein Provider oder IT-Dienstleister kümmert sich darum.“ Durch frühzeitige und regelmäßige Sensibilisierung können im Anschluss mit wenig Aufwand effektive Maßnahmen ergriffen werden.

xethix: Denn ist das Thema nicht zu komplex und eigentlich auch zu volatil für eine Kampagne?

Markus Schaffrin: Darin besteht natürlich die Herausforderung für alle Beteiligten. Aber nehmen Sie als Beispiel die Initiative-S (www.initiative-s.de). Der kostenlose Webseiten-Check zur Sicherheit des eigenen Interneuauftritts. Jeder Unternehmer verfügt inzwischen über einen Webauftritt. Nur die wenigsten wissen jedoch, dass die eigene Webseite auch gehackt werden kann und anschließend von Cyberkriminellen genutzt wird, um Schadsoftware zu verteilen. Die Anmeldung zum Webseitencheck kostet die Unternehmen maximal fünf Minuten. Damit erhöhen sie ihr Sicherheitsniveau aber merklich.

xethix: Spielt das Thema Unternehmenskultur oder gar Unternehmensethik im Bezug auf das Mitarbeiterverhalten Ihrer Ansicht nach eine entscheidende Rolle – unter dem Aspekt, dass wenn Mitarbeiter sich mit ihrem Unternehmen identifizieren können, dann  sind sie eher bereit sich damit auseinanderzusetzen was für das Unternehmen hilfreich ist?

Markus Schaffrin: Ich denke, dass ein gutes Betriebsklima und die Sensibilisierung der Mitarbeiter für die Sicherheit im Unternehmen entscheidend sind. Früher hat man den Mitarbeitern einfach Dinge verboten, ihnen aber nicht erklärt warum. Wenn heute aber Mitarbeiter regelmäßig geschult werden und man ihnen erklärt warum USB-Sticks im Unternehmen eine Gefahr darstellen und somit sensible Daten nur intern gespeichert werden dürfen, dann verstehen die Mitarbeiter das und ziehen mit.

Autorin: Ulla Coester

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>