Sicherheitsbedrohung Mitarbeiter

Die eigenen Mitarbeiter sind die größte Bedrohung für die Informationssicherheit eines jeden Unternehmens. Durch technische Maßnahmen lässt sich gegen die Insider-Gefahr nicht viel bewirken. Mit Hilfe spannender Security-Themen, die den persönlichen Nutzen für den Mitarbeiter unterstreichen, kann der Faktor Mensch jedoch in einen Sicherheitsgewinn für das Unternehmen umgewandelt werden.

Hört man den Ausdruck „Insider“ so denkt man an üble Mitarbeiter, die Firmengeheimnisse gegen viel Geld an Mitbewerber verkaufen. Die Presse stürzt sich gierig auf aufgedeckte Skandale und tritt diese in der Öffentlichkeit breit. Wer erinnert sich nicht an den Steuerdaten-Klau in Luxemburg und den Verkauf dieser Informationen an den deutschen Bundesnachrichtendienst oder an den Verlust von 17 Millionen Kundendaten durch T-Mobile.

Datenverlust durch Insider

Dies ist jedoch im Alltag nicht das Hauptproblem für Datenverlust. Eine aktuelle Studie „Insider Risk Management“ von IDC kommt zu dem Ergebnis, dass vor allem unbeabsichtigter Datenverlust das Hauptproblem für Unternehmen darstellt. Grundsätzlich ist es vielen Unternehmen zwar bewusst, dass durch die internen Nutzer potenzielle Risiken entstehen. Doch werden sorgloses Zugriffsverhalten oder regelwidriger Umgang mit sensiblen Daten oftmals nicht beachtet, da äußere Bedrohungen als wichtiger eingestuft werden.

Insider sind autorisierte Benutzer mit rechtmäßigem Zugriff zu Firmennetzwerk, Anwendungen und Daten. Dazu gehören Mitarbeiter, Geschäftsleitung, IT-Abteilung, Berater, Outsourcer, Lieferanten und Geschäftspartner. Während Unternehmen Strategien entwerfen ihr Kerngeschäft besser abzusichern, sollten ebenfalls konkrete Überlegungen angestellt werden, um dem Risiko der Insider-Gefahr zu begegnen. Seit einiger Zeit – seit dem IDC Enterprise Security Survey 2008 – ist nämlich die Bekanntgabe vertraulicher Information an die erste Stelle gerückt im Wettstreit „Größte Gefahr für die Unternehmenssicherheit“. Datenverlust hat damit alle anderen Bedrohungen, auch Virenbefall und Hackerangriff, überholt. Die betroffenen Unternehmen bestätigen zudem, dass Probleme durch Insider meist unbeabsichtigt passieren.

Wo lernt man Security?

Da stellt sich mir die Frage, warum soviel Geld zur Abwehr externer Gefahren ausgegeben wird, wenn das Problem, das den Firmen am meisten Geld kostet, intern sitzt?

Die Antwort auf diese Frage ist – wie üblich im Security-Umfeld – mehrschichtig. Hauptproblem ist, wie ebenfalls üblich, das mangelnde Problembewusstsein der Führungsschicht. Woher sollte das Problembewusstsein auch kommen, wenn uns die Hersteller von Sicherheitsprodukten eine heile Welt suggerieren – vorausgesetzt man kauft ihr spezielles Produkt. Der Fokus von Herstellern ist nun einmal auf hohe Stückzahl gerichtet, je mehr Boxen und Lizenzen er verkauft, desto besser. Da stellt sich die Frage einfach nicht, wie passend das Produkt für die Firma ist und ob es überhaupt optimal eingesetzt werden kann.

Da jedoch die Hersteller starkes monetäres Interesse haben ihre Produkte zu verkaufen, kann eine seriöse Sicherheitsberatung so niemals stattfinden. Dies ist jedoch der Hauptweg, wie vor allem kleinere Unternehmen mit ihrer Sicherheit umgehen – Beratung durch Hersteller oder Reseller.

Warum Firewalls?

Durch diese einseitige, sehr technische Beratung wird leider ein Großteil der potentiellen Gefahren nicht beachtet. Eine ausgewogene Gesamtsicherheitslösung besteht nur zu 20 Prozent aus technischen, zu 80 Prozent jedoch aus organisatorischen und persönlichen Maßnahmen. Da wird oft um zusätzliche Features bei Firewalls gefeilscht und diskutiert, ob ein spezielles Produkt 97 oder 98 Prozent Sicherheit bietet und dabei übersehen, dass der Administrator ohnehin einem Drittel der Mitarbeiter des Unternehmens die Regel „alles offen“ eingerichtet hat (reales Beispiel eines Audits!). Da frage ich mich dann, wozu überhaupt eine Firewall verwendet wird? Da ist es nämlich völlig egal welches Produkt ich verwende, also warum nicht ein Router aus dem Mediamarkt oder Saturn um EUR 39,90.-, anstatt eine Firewall um EUR 3990.-!

Was müssen wir machen um die Gefahr zu bannen, die von naiven Mitarbeitern droht? Es gibt eine einfache, kostengünstige und nicht-technische Lösung: Tragen wir dazu bei, dass die Mitarbeiter nicht naiv bleiben! Ich nenne es „den Hausverstand schulen“. Nur wenn der Benutzer weiß, wo in der virtuellen Welt überhaupt Gefahren drohen, kann er seinen in der realen Welt so gut funktionierenden Instinkt einsetzen.

Sprache verfehlt Publikum

Mitarbeitersensibilisierung ist das Schlagwort, das bewusst machen von Zusammenhängen. Die Erklärung von DNS Server Cache Poisoning Möglichkeiten oder einer Signal Race Vulnerability des Sendmail MTAs verfehlen jedoch völlig das Zielpublikum. Dies ist auch der Grund, warum trotz Fachwissen, ein IT-Mitarbeiter der denkbar schlechteste Vortragende für Mitarbeitersensibilisierung ist. IT-Leute sprechen, genauso wie Chemiker, Mediziner oder Juristen, eine eigene Sprache.

Persönlich betroffen machen ist der Schlüssel zum Erfolg. Warum müssen es immer trockene Security-Policies sein, die niemand einsieht? Probieren Sie einmal private Themen wie „Sicheres Einkaufen im Internet“, „Facebook, Twitter & Co sicher nutzen“ oder „Absichern des Heim-PCs“! Damit erreichen Sie die ungeteilte Aufmerksamkeit der Teilnehmer, das bringt den Mitarbeitern enorme Einsicht in die aktuellen Gefahren der virtuellen Welt und letztendlich auch für Ihr Unternehmen, neben dem deutlich spürbaren Sicherheitsgewinn – und der Sicherheitsgewinn für Ihr Unternehmen ist deutlich spürbar! –, ein positives Renommee.

Mitarbeiter ist Unternehmenskapital

Mitarbeiter sind die Essenz eines jeden Unternehmens, das Kapital. Behandeln wir sie auch so, dann stellt sich der Erfolg automatisch ein.

Weitere Informationen unter www.security-awareness.at

Wieviel Sicherheit brauchen KMUs?

Laut einer aktuellen Studie haben speziell Klein- und Mittelbetriebe in Österreich einen großen Nachholbedarf bezüglich Security. Teure Produkte schießen jedoch oft übers Ziel hinaus; Angemessenheit, Machbarkeit und vor allem geringe Kosten der zu tätigenden Maßnahmen sind gefragt.

Security-Daten speziell für österreichische Verhältnisse zu bekommen ist üblicherweise schwierig. Die TechConsult Multiclient-Studie „IT-Security in Österreich 2008“ ist eine willkommene Ausnahme. Es wurden hier sowohl große als auch kleine Unternehmen befragt und die Ergebnisse ausgewertet.

Zeigt sich bei Unternehmen mit mehr als 250 Mitarbeitern ein steigendes Problembewusstsein für Informationssicherheit, so ist das Bild, das sich für kleine Firmen ergibt, katastrophal. Es fehlt hier oft an grundlegenden Maßnahmen sowohl organisatorischer als auch technischer Art.

Geschäftsführung fehlt Problembewusstsein

Der Hauptgrund für das schlechte Abschneiden liegt jedoch kaum an den Kosten von Produkten und Implementierung, sondern in Wirklichkeit an einem zu geringen Problembewusstsein der Geschäftsführung. Gerade in Kleinunternehmen sind die Geschäftsführer für alle Belange direkt zuständig. Die Security-Thematik steigt in der Komplexität ständig an und erfordert inzwischen das Know-how von Experten. Den Unternehmen fehlt einerseits der bewusste Umgang mit dem Risiko in der IT, andererseits steigt die Haftung für den Geschäftsführer durch immer schärfere Gesetze und Regulierungen. Ein KMU hat wenig freie Ressourcen und muss sich verstärkt auf sein Kerngeschäft konzentrieren – daher kommt der Sicherheitsbereich oft zu kurz.

Heute sind alle wichtigen Informationen elektronisch gespeichert, ein Ausfall von Computersystemen heißt Stillstand für das Unternehmen; keine Abrechnungen, keine Aufträge, keine Kunden sind verfügbar. Aber nicht nur Verfügbarkeit ist essentiell, auch durch Virenbefall veränderte Daten bedeuten Chaos und können den Ruin des Betriebes bewirken. Sicherheit ist unerlässlich. Eine Steigerung in diesem Bereich bedeutet auch größere Chancen am Markt, im eigenen Kerngeschäft.

Günstige Maßnahmen setzen

Durch einfache Schritte die wenig Geld kosten können bereits enorme Sicherheitsgewinne erreicht werden. Neben technischen sind hier vor allem organisatorische und persönliche Maßnahmen von Bedeutung.

Kurze, prägnante Richtlinien zeigen die Verantwortung des Einzelnen für Informationssicherheit auf. Vorgehensweisen für wahrscheinliche Ereignisse, wie etwa Virenbefall der IT-Infrastruktur, ermöglichen gezielte Aktionen im Notfall. Gelebtes Vorbild der Geschäftsleitung fördert das Sicherheitsbewusstsein bei den Mitarbeitern. Optimierte Ausnutzung und effizienteres Zusammenspiel bezüglich Security der vorhandenen Soft- und Hardware bringt kostenlosen Mehrwert.

Schießen Sie mit den gesetzten Maßnahmen nicht übers Ziel hinaus! Angemessenheit ist wichtig, erfassen Sie ihre wirklichen Risiken und setzen Sie dort gezielte Schritte. Auch Einfachheit und Machbarkeit ist bedeutend, Sie besitzen keine hochspezialisierte IT-Security Mannschaft.

Sollten Sie selbst kein entsprechendes Know-How im Unternehmen haben, so scheuen Sie nicht die Hilfestellung durch Security-Experten einzufordern. Es zahlt sich bereits kurzfristig aus.

Security ist Chefsache

Überleben des Unternehmens wird in unserer technisierten Welt immer mehr zur Frage der Sicherheit von Informationen. Die Verantwortung dafür liegt eindeutig bei der Geschäftsleitung. Planen Sie als Unternehmer rechtzeitig, was Sie machen können und was Sie machen müssen, um konkurrenzfähig zu bleiben.