Warum der Mensch die größte IT-Security-Gefahr ist – und was Sie dagegen tun können!

Einbrecher im Haus: Ihre Wertsachen sind weg, obwohl Türen und Fenster geschlossen sind. Da hat sich doch jemand einen Schlüssel verschafft und einfach die Tür aufgesperrt! Sie halten dieses Szenario für unwahrscheinlich? Mag sein, doch in Unternehmen passiert dies – bezogen auf die IT-Security – häufiger als man denken mag.

Eigentlich sollten Angestellte in Sachen Datenschutz mittlerweile wissen, was Sie zu tun und zu lassen haben. Schließlich besteht für Unternehmen durch die DSGVO eine „indirekte Verpflichtung“ zur regelmäßigen Datenschutz-Schulung aller Mitarbeiter. Trotzdem nutzen selbst CEOs oder andere hochrangige Mitarbeiter immer wieder nur ein Master-Passwort für alle Dienste und Anwendungen. Womöglich notieren sie dieses Kennwort auch noch auf einem Spickzettel. Dann dauert es nicht lange, bis das Passwort in falsche Hände gerät. Glauben Sie nicht? Stimmt aber!

Wie leicht menschliche Fehler Datendiebstähle verursachen

Laut einer Studie des Sicherheitsanbieters Beyond Identity notiert noch immer jeder dritte Anwender in Deutschland seine beruflichen Passwörter handschriftlich. Jeder vierte User verwendet zudem stets die gleichen Passwörter. Da verwundert es kaum, dass 42 Prozent der befragten Nutzer bereits mehrfach eine Kompromittierung ihres Passworts erlebten. Man könnte nun sagen: „Schwamm drüber, jeder begeht mal Fehler, das wissen wir alle.“ So harmlos ist dieses Thema allerdings nicht. Derartige Fehler bei der Absicherung Ihrer IT können fatale Folgen für das gesamte Unternehmen haben.

Die IT muss sich deshalb typische menschliche Fehler ansehen, um die richtigen Gegenmaßnahmen ergreifen zu können. In der IT-Security geschieht das allerdings viel zu selten. Dabei treten gerade beim Umgang mit Passwörtern immer wieder gravierende Fehler auf. So gehen laut einer Analyse von IBM satte 95 Prozent der Datendiebstähle auf menschliche Fehler zurück. Auf gelbe Zettel notierte und dann an den Monitor geklebte Passwörter sind nur einer davon.

Wo Schadenspotenzial durch Fehler und Irrtümer droht

Neugierig geworden? Kein Problem, der Sicherheitsanbieter Proofpoint hat sich in einer Studie mit menschlichen Fehlannahmen und deren Einfluss auf die IT-Sicherheit befasst:

  • Fast jeder zweite Angestellte in US-Unternehmen vertraut öffentlichen WLAN-Hotspots, wenn sich diese in einer „vertrauenswürdigen“ Umgebung wie einem Café oder einem Flughafen befinden. Öffentlich zugängliche und zum Teil nicht einmal verschlüsselte Hotspots sind jedoch inhärent unsicher. Angreifern gelingt es leicht, in solchen Funknetzen nicht ausreichend geschützte Daten auszuspähen. Dabei gibt es mit modernen VPN-Lösungen eine bewährte Möglichkeit, sich gegen Datenspione zu schützen.
  • Jeder siebte Mitarbeiter in Großbritannien sperrt sein Smartphone nicht, wenn er es nicht benötigt. Erschwerend kommt hinzu, dass rund 41 Prozent der Teilnehmer an der Proofpoint-Studie angegeben haben, ihr persönliches Mobiltelefon sowohl privat als auch beruflich zu nutzen.
  • Müsste es bei firmeneigenen Mobilgeräten nicht besser aussehen? Sollte man meinen, ist aber nicht so. Auch hier treten laut Proofpoint gravierende Probleme auf. So erlauben rund 50 Prozent der Angestellten ihren Freunden und Verwandten die Nutzung der vom Arbeitgeber bereitgestellten Geräte, um zum Beispiel auf private E-Mails zuzugreifen. Mehr als jeder Fünfte sieht auch keinen Grund zur Besorgnis, wenn es um den Besuch von sozialen Netzwerken oder das Einkaufen in diversen Onlineshops geht. Ein weiterer Teil ermöglicht anderen das Streamen von Musik und Videos oder das Spielen von Games auf der dienstlichen Hardware.
Schwerer Fehler: Etwa die Hälfte der Angestellten erlaubt es Freunden und Verwandten, auf Geräte des Arbeitgebers zuzugreifen

Die Beispiele zeigen, dass immer noch viel zu viele Anwender in den Firmen das Thema IT-Sicherheit nicht wirklich ernst nehmen. Hier gilt das alte Motto: „Uns wird es schon nicht treffen!“. Häufig ist leider das Gegenteil der Fall. Letztlich ist es nur eine Frage der Zeit, bis es zu einem mehr oder minder schweren Sicherheitsvorfall kommt.

Warum viele Unternehmen im Security-Notfall Zeit verschwenden

Laut einer aktuellen Untersuchung von Bitkom Research verfügt nur jedes zweite Unternehmen in Deutschland über einen Notfallplan mit schriftlich geregelten Abläufen und Ad-hoc-Maßnahmen bei Datendiebstahl, Spionage oder Sabotage. Dieser ist aber notwendig, um im Fall der Fälle keine wertvolle Zeit zu verschwenden. Jeder Betrieb kann und wird zum Opfer von Cyberattacken werden, warnen die Autoren der Studie, und zwar unabhängig von Branche und Größe.

„Ist die Firmen-IT erst einmal infiziert oder lahmgelegt, entstehen hohe Kosten, die bis hin zu wochenlangen Produktionsausfällen gehen“, kommentiert Simran Mann, Referentin für Sicherheitspolitik beim Branchenverband Bitkom. „Die Mitarbeiterinnen und Mitarbeiter können Cyberangriffe erleichtern oder erschweren“, so Mann weiter. Immerhin seien die Angestellten „die erste Abwehrreihe gegen Cyberkriminelle“. Und: „Unternehmen sollten unbedingt über Risiken und Angriffsarten aufklären und Hinweise für das richtige Verhalten geben“, empfiehlt die Expertin daher.

Eine Sensibilisierung der Belegschaft lässt sich nicht nur mit neuen technischen Errungenschaften erreichen. Genauso wichtig sind Schulungen und Security-Awareness-Trainings, die regelmäßig stattfinden. Nur so lassen sich menschliche Fehler und Irrtümer in Zukunft auf ein vertretbares Maß reduzieren.

Jetzt mehr erfahren über den „Mensch als Risikofaktor“

Blog abonnieren

CAPTCHA-Bild zum Spam-Schutz Wenn Sie das Wort nicht lesen können, bitte hier klicken.