Mensch und IT: Vom Risiko- zum Sicherheitsfaktor

eco-Verband sieht Unternehmenskultur als grundlegend für ganzheitliche IT-Security an

[datensicherheit.de, 08.03.2017] Nach einer Meldung vom eco – Verband der Internetwirtschaft e.V. unterschätzen viele Unternehmen menschliche Faktoren bei der IT-Risikobewertung. Die Mitarbeiter sollten aber zu Verteidigern der Firmen-IT werden.

IT-Sicherheit umfassend denken!

Bei der IT-Security verließen sich viele mittelständische Unternehmen noch zu sehr auf rein technische Lösungen. Insbesondere den menschlichen Faktor unterschätzten viele bei der Risikobewertung. Immer wieder ermöglichten so Mitarbeiter Cyber-Kriminellen erfolgreiche Angriffe – beispielsweise indem sie in verdächtigen E-Mails auf Links oder auf die Anhänge klickten und so einen Erpressungstrojaner ins Haus holten.
„Insbesondere kleinere Unternehmen vernachlässigen es, bei der IT-Sicherheit umfassend zu denken und eine Unternehmenskultur zu schaffen, die Mitarbeiter für Bedrohungslagen sensibilisiert“, erläutert Oliver Dehning, Leiter der „Kompetenzgruppe Sicherheit“ im eco – Verband der Internetwirtschaft e.V.

Kombinierte technische und menschliche Angriffsvektoren

Beim „CEO-Fraud“ etwa nutzten Cyber-Kriminelle menschliche Eigenschaften wie Hilfsbereitschaft, Neugier und Angst aus. Aufgrund gefälschter E-Mails und Telefonanrufe überwiesen Mitarbeiter hohe Summen ins Ausland. Diese Form der personalisierten Manipulation („Social Engineering“) habe Hochkonjunktur und ergänze immer stärker technische Angriffe.
„Cyber-Kriminelle kombinieren heute technische und menschliche Angriffsvektoren“, sagt Dehning. Durch die hohe Zahl der attackierten Firmen verbuchten die Kriminellen immer wieder Erfolge. Bis zu 40 Millionen Euro hätten einzelne deutsche Mittelständler bereits auf diesem Wege verloren. Dehning: „Insbesondere Unternehmen, die ihre Strukturen und die Sicherheit ihrer digitalen Arbeitswege nicht den aktuellen Anforderungen angepasst haben, sind gefährdet.“

Bewusstsein schaffen: Der Mensch als Sicherheitsfaktor

Entwickeln Unternehmen jedoch ein Bewusstsein für die neuen Bedrohungen, dann würden die Mitarbeiter vom Risikofaktor zum Verteidiger der Firmen-IT: „Entscheidend ist eine Unternehmenskultur, in der Mitarbeiter sich trauen verdächtige Vorfälle und E-Mails zu melden und Rücksprache zu halten“, betont Dehning.
Die IT-Verantwortlichen könnten dann die tatsächliche E-Mail-Adresse und gegebenenfalls das S/MIME-Zertifikat überprüfen. Auch wenn eine zweifelhafte Überweisung bereits raus ist, sollten sich Mitarbeiter bei Verantwortlichen mit ihrem Verdacht melden. Je schneller ein erfolgreicher Betrug ans Licht komme desto höher sei die Chance, das Geld zurück zu bekommen.
Damit die Mitarbeiter neue Verhaltensweisen verinnerlichen, sollten sie kontinuierlich wiederholt werden, fordert Dehning. Regelmäßige Schulungen oder monatliche Mitarbeiterversammlungen hielten das Bewusstsein für aktuelle Bedrohungen aufrecht.
Zusätzlich zur Sensibilisierung ihrer Mitarbeiter sollten Unternehmen nicht zu viele Daten auf der Website oder über Soziale Netzwerke preisgeben. Denn diese könnten für Angriffe instrumentalisiert werden.

Foto: eco – Verband der Internetwirtschaft e.V.

Oliver Dehning: Mitarbeiter müssen sich trauen können, verdächtige Vorfälle zu melden!

Faktor Mensch auf den „Internet Security Days 2017“

Der Faktor Mensch soll laut eco auch eines von vier Schwerpunktthemen der „Internet Security Days“ (ISD) vom 28. bis 29. September 2017 in Brühl sein.
Mit einem „Call for Papers“ suchen die Veranstalter demnach bis Mitte April 2017 Referenten.

Weitere Informationen zum Thema:

Willkommen zu den Internet Security Days 2017:
Fachmesse, Konferenz, Networking, Spaß

Internet Security Days
Konferenz, Ausstellung und Networking zu den Sicherheitstrends für heute und morgen (Call for Papers)

datensicherheit.de, 05.11.2011
Faktor Mensch: Personelle Engpässe sowie mangelnde Fachkompetenz der Mitarbeiter als Risikofaktoren