Der Faktor Mensch | SwissSign
Eine Datensicherheitsspezialistin der Schweizerischen Post

Hauptbereich

Was bedeutet der «Faktor Mensch» für die IT-Sicherheit?

Wenn es um IT-Sicherheit am Arbeitsplatz geht, ist der vielzitierte «Faktor Mensch» eines der grössten Risiken. Fehlendes Wissen, hohe Arbeitsbelastung oder mangelnde Sensibilität für Sicherheitsthemen bergen Gefahr. Deshalb sollte die Minderung dieser Risiken im Zentrum jeder erfolgreichen IT-Strategie stehen. Wir zeigen Ihnen, wie Sie den «Problemfaktor Mensch» in einen Teil der Lösung verwandeln und sich so auch neue Chancen erschliessen.

Problem 1: Menschen handeln menschlich

Zunächst ist es wichtig zu verstehen, wieso der Mensch das wohl grösste IT-Sicherheitsrisiko für Firmen ist. Der Grund ist einfach: Er handelt menschlich und nicht wie eine Maschine nach einer programmierten Logik. Ein Beispiel: Ein Mitarbeiter erzählt einem Bekannten aus einer anderen Firma, dass sie im Unternehmen eine veraltete Version des CRMs verwenden. Ein Mitarbeiter der Konkurrenz bekommt dieses Gespräch mit und notiert sich alle Informationen. 

Viele Hacker-Attacken nehmen auf diese Art ihren Anfang. Besonders heikel ist auch das Verhalten von entlassenen Mitarbeitenden, die ihrem Frust Ausdruck geben. Die meisten angegriffenen Firmen würden wohl bestätigen, dass es ohne den «Faktor Mensch» nicht möglich gewesen wäre, eine erfolgreiche Hacker-Attacke durchzuführen.

Lösungsansätze

Sorgen Sie dafür, dass Ihre Mitarbeitenden sich den Gefahren bewusst sind. Schulungen und regelmässige Trainings sind ein gutes Instrument, um das Thema IT-Sicherheit im Bewusstsein zu verankern. Wichtig ist aber auch, wie ernst man dieses Thema im Unternehmen nimmt; das Management sollte mit gutem Beispiel vorangehen.

Problem 2: Passwörter sind lästig

Allzu menschlich ist auch die Abneigung gegen komplizierte Passwörter. Ob es der Name des Hundes oder eine dreistellige Zahlenfolge ist: Viele Passwörter sind einfach zu erraten. Oftmals werden sie jeweils gleich mehrmals verwendet oder schlimmstenfalls öffentlich zugänglich notiert – zum Beispiel auf einem Post-it.

Mitarbeitenden ist häufig nicht bewusst, welche Gefahr dieses vermeintlich normale Verhalten mit sich bringt. Es reicht bereits, dass ein Kleinkrimineller sich als Mitarbeiter der Reinigungsfirma ausgibt und das herumliegende Passwort eintippt. So kann er mit einem USB-Stick Firmendaten entwenden. Oder Schadsoftware installieren. Und wenn er etwas mehr Zeit hat und das Passwort an weiteren PCs oder in anderen Systemen ausprobiert, dann ist die Wahrscheinlichkeit gross, dass er sich zu weiteren kritischen Daten Zugriff verschaffen kann.

Lösungsansätze

Setzen Sie Passwörter mit mindestens 8 Zeichen. Benutzen Sie keine bekannten Wörter, geläufige Passwörter oder einfache Zahlenfolgen. Verwenden Sie jedes Passwort nur einmal. Im Idealfall kombinieren Sie Zahlen, Buchstaben und Sonderzeichen ohne erkennbare Logik. Bewahren Sie Ihre Passwörter nicht physisch am Arbeitsort auf. Nutzen Sie stattdessen ein Passwort-Manager-Tool. Und wichtig: Teilen Sie Ihre Passwörter mit niemandem – auch nicht Ihrer Führungsperson oder dem IT-Helpdesk.

Problem 3: Menschen sind soziale Wesen

Menschen werden gerne gelobt. Sie hören gerne, dass sie ihre Sache gut machen. Und in dieser Stimmung sind Mitarbeitende oftmals bereit, das eine oder andere aus ihrem Job preiszugeben. Diese menschliche Schwäche kann ein Angreifer ausnutzen und durch geschickte Fragen wichtige Informationen gewinnen.

Zusätzlich stehen jedem Angreifer sämtliche Informationen zur Verfügung, welche in den sozialen Medien geteilt werden. Gerade bei unbedarften oder frustrierten Mitarbeitenden besteht hier ein Risiko. Und à propos soziale Medien: Eine weitere Gefahr stellen auch Webapplikationen bekannter Messenger-Dienste dar, wenn sie auf dem Firmenrechner genutzt werden. Denn jede Sicherheitslücke darin kann zum Einfallstor für Angriffe auf Ihre Firmensysteme werden. Und es ist ein einfacher Weg, um gefährliche Dateien zu verbreiten und auf Downloads zu hoffen.

Lösungsansätze

Schulen Sie Ihre Mitarbeitenden und führen Sie ihnen die Gefahr eines Angriffs sowie mögliche Strategien der Angreifer vor Augen. Achten Sie darauf, dass Zugriffe auf soziale Medien nicht über Firmengeräte erfolgen – ausser natürlich für berufliche Zwecke.

Problem 4: Geräte werden geschäftlich und privat genutzt

Sie möchten Ihren Mitarbeitenden WLAN zur Verfügung stellen? Gute Idee. Sie wollen es auch für private Geräte zugänglich machen? Ganz schlechte Idee. Denn Sie haben als Firma keinen Überblick über die Sicherheit fremder Geräte. Das öffnet Angreifern die Tür. Dasselbe gilt auch für andere private Geräte wie USB-Sticks oder externe Festplatten, die im Arbeitsalltag genutzt werden. Diese sogenannte «Schatten-IT» wird normalerweise ohne das Wissen der IT-Abteilung betrieben und stellt ein Sicherheitsrisiko dar.

Gefährlich kann es auch werden, wenn der Geschäfts-Laptop für private Zwecke verwendet wird. Selbst im Rahmen einer normalen Freizeitnutzung vergrössert sich das Risiko für die Firma, zum Beispiel wenn private oder ungesicherte öffentliche WLAN-Netzwerke genutzt werden.

Lösungsansätze

Seien Sie vorsichtig, was den Zugang zum Firmen-WLAN betrifft. Alle angeschlossenen Geräte sollten der IT-Abteilung der Firma bekannt sein und auf ihre Sicherheit überprüft werden. Als Speichermedien sollten ausschliesslich firmeneigene USB-Sticks und Festplatten dienen. Auch mit Administrator-Rechten sollten Sie sparsam umgehen und diese nur denjenigen Mitarbeitern geben, welche sie wirklich für ihre Arbeit brauchen. So verhindern Sie, dass schädliche Programme installiert werden.

Problem 5: Mitarbeitende gehen falsch mit Daten um

Stellen Sie sich vor, Ihr Buchhalter hat die Lohnliste versehentlich zweimal ausgedruckt. Das überschüssige Exemplar wirft er in den Papierkorb. Frei zugänglich für andere Mitarbeitende oder – noch schlimmer – Konkurrenten. So schnell können strategisch relevante Unternehmensdaten in die falschen Hände geraten.

Das gilt auch für den digitalen Raum: Wer auf seinem PC nicht mehr benötigte sensible Daten lagert, riskiert, dass die Firma im Falle eines Angriffs wichtige Informationen preisgibt. Und es ist fraglich, ob Mitarbeitende einen solchen Datenverlust tatsächlich melden würden. Falls sie sich überhaupt daran erinnern, diese Dokumente noch gespeichert gehabt zu haben.

Lösungsansätze

Sorgen Sie dafür, dass Ihre Mitarbeitenden verantwortungsvoll mit vertraulichen Daten umgehen. Alle Dokumente mit Firmendaten sollten entweder sicher archiviert oder geschreddert werden. Und kommunizieren Sie klar, dass jeglicher Datenverlust sofort gemeldet werden soll. Hierbei ist jedoch Fingerspitzengefühl gefragt. Mitarbeitende sollten keine Hemmungen oder gar Angst davor haben.