Die eigenen Mitarbeiter sind die größte Bedrohung für die Informationssicherheit eines jeden Unternehmens. Durch technische Maßnahmen lässt sich gegen die Insider-Gefahr nicht viel bewirken. Mit Hilfe spannender Security-Themen, die den persönlichen Nutzen für den Mitarbeiter unterstreichen, kann der Faktor Mensch jedoch in einen Sicherheitsgewinn für das Unternehmen umgewandelt werden.
Hört man den Ausdruck „Insider“ so denkt man an üble Mitarbeiter, die Firmengeheimnisse gegen viel Geld an Mitbewerber verkaufen. Die Presse stürzt sich gierig auf aufgedeckte Skandale und tritt diese in der Öffentlichkeit breit. Wer erinnert sich nicht an den Steuerdaten-Klau in Luxemburg und den Verkauf dieser Informationen an den deutschen Bundesnachrichtendienst oder an den Verlust von 17 Millionen Kundendaten durch T-Mobile.
Datenverlust durch Insider
Dies ist jedoch im Alltag nicht das Hauptproblem für Datenverlust. Eine aktuelle Studie „Insider Risk Management“ von IDC kommt zu dem Ergebnis, dass vor allem unbeabsichtigter Datenverlust das Hauptproblem für Unternehmen darstellt. Grundsätzlich ist es vielen Unternehmen zwar bewusst, dass durch die internen Nutzer potenzielle Risiken entstehen. Doch werden sorgloses Zugriffsverhalten oder regelwidriger Umgang mit sensiblen Daten oftmals nicht beachtet, da äußere Bedrohungen als wichtiger eingestuft werden.
Insider sind autorisierte Benutzer mit rechtmäßigem Zugriff zu Firmennetzwerk, Anwendungen und Daten. Dazu gehören Mitarbeiter, Geschäftsleitung, IT-Abteilung, Berater, Outsourcer, Lieferanten und Geschäftspartner. Während Unternehmen Strategien entwerfen ihr Kerngeschäft besser abzusichern, sollten ebenfalls konkrete Überlegungen angestellt werden, um dem Risiko der Insider-Gefahr zu begegnen. Seit einiger Zeit – seit dem IDC Enterprise Security Survey 2008 – ist nämlich die Bekanntgabe vertraulicher Information an die erste Stelle gerückt im Wettstreit „Größte Gefahr für die Unternehmenssicherheit“. Datenverlust hat damit alle anderen Bedrohungen, auch Virenbefall und Hackerangriff, überholt. Die betroffenen Unternehmen bestätigen zudem, dass Probleme durch Insider meist unbeabsichtigt passieren.
Wo lernt man Security?
Da stellt sich mir die Frage, warum soviel Geld zur Abwehr externer Gefahren ausgegeben wird, wenn das Problem, das den Firmen am meisten Geld kostet, intern sitzt?
Die Antwort auf diese Frage ist – wie üblich im Security-Umfeld – mehrschichtig. Hauptproblem ist, wie ebenfalls üblich, das mangelnde Problembewusstsein der Führungsschicht. Woher sollte das Problembewusstsein auch kommen, wenn uns die Hersteller von Sicherheitsprodukten eine heile Welt suggerieren – vorausgesetzt man kauft ihr spezielles Produkt. Der Fokus von Herstellern ist nun einmal auf hohe Stückzahl gerichtet, je mehr Boxen und Lizenzen er verkauft, desto besser. Da stellt sich die Frage einfach nicht, wie passend das Produkt für die Firma ist und ob es überhaupt optimal eingesetzt werden kann.
Da jedoch die Hersteller starkes monetäres Interesse haben ihre Produkte zu verkaufen, kann eine seriöse Sicherheitsberatung so niemals stattfinden. Dies ist jedoch der Hauptweg, wie vor allem kleinere Unternehmen mit ihrer Sicherheit umgehen – Beratung durch Hersteller oder Reseller.
Warum Firewalls?
Durch diese einseitige, sehr technische Beratung wird leider ein Großteil der potentiellen Gefahren nicht beachtet. Eine ausgewogene Gesamtsicherheitslösung besteht nur zu 20 Prozent aus technischen, zu 80 Prozent jedoch aus organisatorischen und persönlichen Maßnahmen. Da wird oft um zusätzliche Features bei Firewalls gefeilscht und diskutiert, ob ein spezielles Produkt 97 oder 98 Prozent Sicherheit bietet und dabei übersehen, dass der Administrator ohnehin einem Drittel der Mitarbeiter des Unternehmens die Regel „alles offen“ eingerichtet hat (reales Beispiel eines Audits!). Da frage ich mich dann, wozu überhaupt eine Firewall verwendet wird? Da ist es nämlich völlig egal welches Produkt ich verwende, also warum nicht ein Router aus dem Mediamarkt oder Saturn um EUR 39,90.-, anstatt eine Firewall um EUR 3990.-!
Was müssen wir machen um die Gefahr zu bannen, die von naiven Mitarbeitern droht? Es gibt eine einfache, kostengünstige und nicht-technische Lösung: Tragen wir dazu bei, dass die Mitarbeiter nicht naiv bleiben! Ich nenne es „den Hausverstand schulen“. Nur wenn der Benutzer weiß, wo in der virtuellen Welt überhaupt Gefahren drohen, kann er seinen in der realen Welt so gut funktionierenden Instinkt einsetzen.
Sprache verfehlt Publikum
Mitarbeitersensibilisierung ist das Schlagwort, das bewusst machen von Zusammenhängen. Die Erklärung von DNS Server Cache Poisoning Möglichkeiten oder einer Signal Race Vulnerability des Sendmail MTAs verfehlen jedoch völlig das Zielpublikum. Dies ist auch der Grund, warum trotz Fachwissen, ein IT-Mitarbeiter der denkbar schlechteste Vortragende für Mitarbeitersensibilisierung ist. IT-Leute sprechen, genauso wie Chemiker, Mediziner oder Juristen, eine eigene Sprache.
Persönlich betroffen machen ist der Schlüssel zum Erfolg. Warum müssen es immer trockene Security-Policies sein, die niemand einsieht? Probieren Sie einmal private Themen wie „Sicheres Einkaufen im Internet“, „Facebook, Twitter & Co sicher nutzen“ oder „Absichern des Heim-PCs“! Damit erreichen Sie die ungeteilte Aufmerksamkeit der Teilnehmer, das bringt den Mitarbeitern enorme Einsicht in die aktuellen Gefahren der virtuellen Welt und letztendlich auch für Ihr Unternehmen, neben dem deutlich spürbaren Sicherheitsgewinn – und der Sicherheitsgewinn für Ihr Unternehmen ist deutlich spürbar! –, ein positives Renommee.
Mitarbeiter ist Unternehmenskapital
Mitarbeiter sind die Essenz eines jeden Unternehmens, das Kapital. Behandeln wir sie auch so, dann stellt sich der Erfolg automatisch ein.
Weitere Informationen unter www.security-awareness.at
