Navigation

Sicherheitsfaktor Mensch

Dass Sicherheit in der Informatik ein wichtiges Thema ist, wurde mittlerweile in den meisten Firmen verstanden. Rechner werden von Virenscannern bewacht, den Internetzugang sicher eine Firewall und Software kann nur durch Administratoren installiert werden. Doch eine wichtige Komponente wird dabei oft vergessen: Der Mensch.
Nicht nur die Technik kann versagen. Auch Mitarbeiter können, aus Nachlässigkeit oder aufgrund mangelnden Wissens, sensible Informationen nach außen tragen.

Mögliche Angriffspunkte

Einige klassische Fehler, die fast jeder begeht:

Die Lösung: Sensibilisierung der Mitarbeiter

Nur durch eine Sensibilisierung der Mitarbeiter für die möglichen Risiken dieser Verhaltensweisen, können sie eine wirklich sichere IT-Infrastruktur schaffen. Dafür bedarf es mehr als plumper Regeln. Jeder Mitarbeiter muss zumindest grundlegend verstehen, worauf aus bei der IT-Security ankommt um sich im Alltag korrekt verhalten zu können.

Risiken identifizieren

Bevor sie ihre Mitarbeiter schulen, muss den Verantwortlichen erst einmal klar werden, was sie eigentlich vermitteln wollen. Dazu muss zunächst identifiziert werden, welche Unternehmensdaten geschützt werden müssen und welchen Aufwand man dafür betreiben möchte.

  1. Sensible Daten ermitteln: Unterlagen der Personalabteilung, technische Dokumentationen, Angebote, Rechnungen und das CRM sind Daten, die man typischerweise nicht nach außen dringen lassen möchte. Bereits jetzt sollten interne Prozesse so gestaltet sein, dass nur die Mitarbeiter auf diese Daten Zugriff haben, die sie auch wirklich benötigen.
  2. Regeln definieren: Die unter mögliche Angriffspunkte aufgelisteten Punkte sollten vermieden werden. Passwörter werden nicht weitergegeben und sensible Daten nur an die Kollegen weitergegeben, die sie wirklich benötigen.
  3. Verantwortliche benennen: Aufgaben wie Virenschutz oder Backups sollten immer einem konkreten Mitarbeiter zugeordnet sein, der auch die Zeit hat, sich intensiv darum zu kümmern.

Mitarbeiter ansprechen

Starre Regelwerke ohne Erklärungen werden nur selten befolgt. Die Mitarbeiter müssen verstehen, warum Security wichtig ist und ein Eigeninteresse dafür entwickeln, keine Fehler im Umgang mit sensiblen Daten zu machen. Sinnvoll kann zum Beispiel die Präsentation von Alltagsbeispielen sein, die aufzeigen, welche Gefahren für das Unternehmen entstehen können.

  1. Sicherheits als Unternehmenskultur: Nur wenn die Führungsetage Sicherheit vorlebt und Vorgesetzte sicheres Verhalten fördern und belohnen, kann sich jeder sicher verhalten.
  2. Individuelle Praxistipps: Jedem Mitarbeiter sollten Praxisbeispiele aus seinem Arbeitsgebiet inklusive der möglichen Konsequenzen gezeigt werden. Außerdem sollte er aktiv in die Lösungsfindung eingebunden werden, falls bereits etablierte Verhaltensweisen neu geregelt werden müssen.
  3. Infotainment mit passendem Niveau: Gerade in großen Firmen kann es notwendig sein, Mitarbeiter entsprechend ihres Wissensstandes unterschiedlich zu schulen.

Konkrete Maßnahmen

Welches Maßnahmenpaket ist notwendig? Genügen Flyer und Schulungen?

  1. Auf Status-quo aufbauen: In einem Assessment Center sollte festgestellt werden, auf welchem Wissenstand die Mitarbeiter sind.
  2. Interne Schulungen: Schulungen sollte nicht einfach als fertiges Konzept eingekauft, sondern individuell durchgeführt werden. Häufig kann das Feedback der ersten Teilnehmer die Schulung maßgeblich verbessern.
  3. Lernmaterial bereitstellen: Egal ob es ein monatlich Security Newsletter per E-Mail oder ein Poster an der Wand ist; Lernmaterial und Erinnerungsstützen sind wichtig.
  4. Nachhaltigkeit: Security ist kein Konzept, dass man einmalig einführt. Es muss ständig gelebt und weiterentwickelt werden.