Skip to main content
main-content

01.11.2017 | IT-Compliance | Im Fokus | Onlineartikel

Mitarbeiter sind das größte IT-Risiko

Autor:
Sven Eisenkrämer

Die jüngste Ransomware-Attacke "Bad Rabbit" könnte verheerende Auswirkungen haben. Auslöser einer Infizierung durch Schadsoftware sind sehr häufig unvorsichtige Nutzer. Security Awareness ist die Lösung für Unternehmen. Serious Games helfen dabei.

"Jemand verlässt sein Haus und lässt nicht nur die Tür offen, sondern auch den Schlüssel von außen stecken. An der Tür befindet sich ein Zettel mit dem Hinweis 'Ich komme erst in drei Stunden wieder und übrigens, die Wertsachen befinden sich im Schlafzimmerschrank unter den Socken.'" So beschreibt Ulrich Hamann, CEO der Bundesdruckerei und einer der Mitbegründer des Vereins Sichere Identität Berlin-Brandenburg, eine Situation in seinem Fachbeitrag im Springer-Magazin "Wirtschaftsinformatik & Management" (4/2017). 

Empfehlung der Redaktion

01.08.2017 | Schwerpunkt | Ausgabe 4/2017

In der Schokoladenfabrik: IT-Sicherheit spielerisch verbessern

Aktuelle Cyber-Angriffe und neue Vorgaben zur IT-Compliance weisen dem „Faktor Mensch“ eine große Bedeutung für Datensicherheit und Datenschutz zu. Wichtiger Baustein jeder Cyberabwehrstrategie ist deshalb, ein starkes Sicherheitsbewusstsein bei den Mitarbeitern zu etablieren. Bei dieser Aufgabe können digitale Lernspiele für Erwachsene eine zentrale Rolle spielen.


"Würde man sich so verhalten?", fragt der scheidende Bundesdruckerei-Chef, der demnächst in den Ruhestand tritt. "Was in der analogen Welt vollkommen absurd wäre, ist in der digitalen Welt oftmals der Normalfall. Wenn es um Sicherheitsprobleme geht, sind die eigenen Mitarbeiter die häufigste Gefahrenquelle", stellt Hamann fest. 

"Bad Rabbit"-Attacke nutzt unachtsame Mitarbeiter aus

Wozu fehlende Bewusstsein für IT- und Cybergefahren führen kann, sieht man regelmäßig bei erfolgreichen Angriffen durch Cyberkriminelle. Aktuell warnen Sicherheitsexperten beispielsweise vor der neuen Ransomware-Attacke "Bad Rabbit" bei der gezielt die Schwachstelle "Mitarbeiter" ausgenutzt wird. Nur wenn der Nutzer die (zugegebenerweise automatisch heruntergeladene) Datei manuell ausführt, wird der Rechner infiziert. Danach breitet sich die Schadsoftware automatisch im gesamten angeschlossenen (Unternehmens-)Netzwerk aus. 

Einer Studie des Sicherheitsanbieters Kaspersky Lab zufolge werden knapp die Hälfte (46 Prozent) aller weltweiten Cybersicherheitsvorfälle in Unternehmen durch Mitarbeiter ausgelöst. 

Mitarbeiter öffnen Cyberkriminellen oftmals die Türen zur Infrastruktur eines Unternehmens. Das Angriffsspektrum reicht von Phishing-Mails über zu schwache Passwörter bis zu vermeintlichen Anrufen des IT-Supports. Eine weitere Masche sind scheinbar verlorene und kompromittierte Speicherkarten, die gezielt auf dem Firmenparkplatz oder im Sekretariat platziert und dann von gutmeinenden Kollegen gefunden und ausgelesen werden.“ David Jacoby, Sicherheitsforscher bei Kaspersky Lab.

Ulrich Hamann führt in seinem Fachbeitrag, der sich mit der Verbesserung des Sicherheitsbewusstseins beschäftigt, aus: "Die Schäden für die deutsche Wirtschaft sind enorm, sie erreichen mittlerweile mehrere 100 Millionen Euro pro Jahr." Neben Schadsoftware-Angriffen wird auch der sogenannte CEO-Betrug (CEO-Fraud) bei Kriminellen immer beliebter. Dabei geben sie sich als Vorgesetzter aus und weisen Mitarbeiter gezielt an, beispielsweise Geld vom Firmenkonto zu überweisen oder sensible Informationen herauszugeben. Dieser "Enkeltrick" in Unternehmen klappt häufig. 

Security Awareness ist das wichtigste Mittel für Unternehmen

Doch wie lassen sich Anwenderfehler bei der IT-Sicherheit vermeiden, Mitarbeiter gegen Social Engineering wappnen und das Bewusstsein für IT-Compliance-Fragen stärken? 

"Die Antwort lautet: Aufklärung, Aufklärung, Aufklärung!" Ulrich Hamann.

Damit die Sensibilisierung nachhaltig wirkt, dürfe sich das Thema IT-Sicherheit nicht in einmaligen Belehrungen erschöpfen, sagt Hamann. "Es muss in der täglichen Arbeit proaktiv gelebt werden." 

Studien kommen allerdings zum Ergebnis, dass nur knapp die Hälfte der Unternehmen ihre Mitarbeiter regelmäßig in diesem Thema schulen. 

"Spielend lernen" funktioniert auch bei Erwachsenen

Ulrich schlägt vor, in Unternehmen Serious Games einzusetzen, um Mitarbeiter spielerisch weiterzubilden: "Das reine Vermitteln von Regeln und Verhaltensweisen führt oft nicht zum Ziel. Das hat eine psychologische Erklärung: So versteht der Verbraucher den 'virtuellen Zeigefinger' oft als bevormundend und Eingriff in die persönliche Freiheit. Zudem existiert bei vielen Verbrauchern die Wahrnehmung, dass Lernen stets mit unangenehmer, zusätzlicher Arbeit verbunden ist und selten Freude macht. Dagegen verbindet er Spielen mit angenehmen Erinnerungen, mit mehr Freiheit und mehr Spaß. An diese Erfahrungen knüpfen heute neue Lernanwendungen an, die als 'Serious Games' Lernen und Spiel miteinander verbinden." 

Beispielhaft für diesen neuen pädagogischen Ansatz ist das Lernspiel "Sicher im Internet" des Vereins Sichere Identität Berlin-Brandenburg. Das Serious Game richtet sich vor allem an die Geschäftsführung und Mitarbeiter kleiner und mittelständischer Unternehmen (KMU), spricht aber auch den Nutzer mit geringen IT-Kenntnissen an. Kommerzielle Lösungen finden sich ebenfalls zu Hauf auf dem Markt. 

Fazit: Im Rahmen eines umfassenden IT-Risikomanagements sollten sich Unternehmensführungen der großen Gefahr durch unaufgeklärte Mitarbeiter bewusst werden. Durch gezielte und angestelltenfreundliche Schulungsmaßnahmen kann die Cybergefahr deutlich reduziert werden. 

Weiterführende Themen

Die Hintergründe zu diesem Inhalt

Das könnte Sie auch interessieren

Premium Partner

GI LogoNeuer Inhalt

BranchenIndex Online

Die B2B-Firmensuche für Industrie und Wirtschaft: Kostenfrei in Firmenprofilen nach Lieferanten, Herstellern, Dienstleistern und Händlern recherchieren.

Whitepaper

- ANZEIGE -

Erforderliche Schutzmaßnahmen für das (vernetzte) Auto

Längst sind moderne Autos kleine Rechnernetzwerke auf Rädern. Was bedeutet dies für die Sicherheit? Dieser Beitrag liefert einen Überblick über Angriffsmethoden und Sicherheitstechnologien für moderne Fahrzeuge. Jetzt gratis downloaden!