Der Fehler in der Matrix – das Sicherheitsrisiko Mitarbeiter
5. April 2021 Veröffentlicht von Raphael DoerrDass es immer eine Lücke im System gibt, hat zuletzt auch wieder der Hackerangriff auf die Düsseldorfer Uniklinik gezeigt: Cyberkriminelle haben sich über eine Schwachstelle in der IT-Security des Klinikums Zugang zum Datensystem des Krankenhauses verschafft. Diese Sicherheitslücke war auf eine unzureichend sichere Technologie zurückzuführen. Dabei ist Cyber-Sicherheit inzwischen im Bewusstsein der meisten Unternehmen tief verankert: Firewalls, Endpoint-Security, Detection & Response, Access Control und viele weitere Techniken gehören wie selbstverständlich zum Abwehr-Arsenal gegen Cybercrime. Alles Techniken, die konstant weiterentwickelt und verbessert werden und deren Ausfallrisiko damit kontinuierlich schrumpft.
Risikofaktor Mensch
Allerdings liegt die Sicherheitslücke – wie aktuelle Studien belegen – inzwischen nicht mehr bei der Technik, sondern beim Menschen selbst. Demzufolge sind über 80% aller erfolgreichen Cyberangriffe die Folge menschlicher Fehler. Wer hätte gedacht, dass das Herz eines jeden Unternehmens – seine Mitarbeiter – gleichzeitig sein größtes Sicherheitsrisiko darstellen kann?
Ein Großteil aller Firmen hat hier einen blinden Fleck, handelt es sich doch ums eigene Team, dem man ruhig vertrauen kann. Dabei ist es überwiegend nicht die Intention der betroffenen Mitarbeiter, Hackern Zugang zu Unternehmensdaten zu verschaffen, zumeist sind Sicherheitslücken Folgen von Fahrlässigkeit oder Gutgläubigkeit. Auch werden die Angriffsarten von Cyberkriminelle immer raffinierter, in den meisten Fällen laufen Phishing-Angriffe aber weiterhin nach derselben Masche ab. Die weiterhin erfolgreichsten „Klassiker“ darunter: Malware-Anhänge in E-Mails oder, Drive-By-Downloads, Tricks aus dem Bereich Social Engineering und immer wieder auch zielgerichteten Angriffe über die sogenannte Chef-Masche. Vor allem aber neigen viele Mitarbeiter gerade auch im Home Office dazu, leichtfertiger mit dem Firmenlaptop oder Firmenhandy umzugehen, denn hier verschwimmen die Grenzen zwischen beruflich und privat.
Schlüsselkompetenz: Security Awareness
Doch es gibt eine simple Lösung, die aufgeführten Fehler zu vermeiden: Mitarbeiter können durch Trainings und Schulungen lernen, wiederkehrende Angriffstaktiken, die auf menschliche Fehler abzielen, zu erkennen und sich richtig zu verhalten. Die sogenannte „Security Awareness“ wird damit zur Schlüsselkompetenz in der IT-Security. Denn nur wenn alle Mitglieder eines Unternehmens informiert und verantwortungsbewusst handeln, kann die Maxime eines jeden Geschäftsführers ermöglicht werden: Konstant Sicherheit im Unternehmen garantieren.