Schwachstelle Mensch
Wenn Mitarbeiter zu leichtgläubig oder selbstzufrieden sind
Die größte Schwachstelle für die IT-Sicherheit ist der Mensch – darüber sind sich IT-Verantwortliche weltweit einig. Denn auch das sicherste Netzwerk schützt nicht vor Datenverlust, wenn Mitarbeiter sensible Daten unverschlüsselt über Clouds versenden, immer dieselben Passwörter nutzen, über ihre Social Media Accounts – bewusst oder unbewusst – munter sensible Informationen preisgeben oder mit Malware infizierte Dateien auf ihre Computer herunterladen.
Wie „gefährlich“ ein Mitarbeiter tatsächlich ist, hängt aber vor allem von seinem Alter ab. Das haben die Analysten des Ponemon Instituts nun in einer Studie herausgefunden. Ausgerechnet junge Fachkräfte, also die Altersgruppe zwischen 18 und 35, birgt demnach das höchste Risikopotential.
Für ihre Studie „The Need for a New IT Security Architecture: Global Study“ befragte Ponemon 4.500 IT-Verantwortliche und Sicherheitsexperten in 15 Ländern. 378 von ihnen kamen aus Deutschland. Die Ergebnisse präsentieren wir Ihnen im heutigen Artikel.
Neue Arbeitswelt – Neue Risiken
Unsere Arbeitswelt wandelt sich – und damit auch die Risiken. Während 81 Prozent der Befragten sich besorgt über fehlendes, gut ausgebildetes IT-Sicherheitspersonal zeigen, ist es gerade das Verhalten der Mitarbeiter, welches ein erhebliches Sicherheitsrisiko darstellt. Genannt werden in diesem Zusammenhang insbesondere die Selbstzufriedenheit der Mitarbeiter über die Sicherheit (74 Prozent der Befragten), der Mangel an Bewusstsein für Sicherheitspraktiken (72 Prozent der Befragten) und die Machtlosigkeit von Unternehmen, alle mobilen Endgeräte und Apps der Mitarbeiter hinsichtlich ihrer Sicherheit auch kontrollieren zu können (71 Prozent der Befragten).
Sicherheitsrisiko Mitarbeiter: Von leichtgläubig bis gefährlich
IT-Verantwortliche sind sich einig, dass die Gruppe der 18 bis 35-Jährigen die größte Risikogruppe darstellt. Das Problem ist nicht, dass sie wie ihre Kollegen aus der Generation der 51 bis 69-Jährigen leicht auf Phishing-Attacken und Social Engineering hereinfallen würden. Jedoch nutzen sie alle erdenklichen Arten von Technologien wie Apps von Drittanbietern oder fremde – in der Regel die eigenen – Mobilgeräte im Unternehmen. Entsprechend hoch ist da der Kontrollverlust der zentralen Unternehmens-IT. Eine andere Form des Sicherheitsrisikos, weil zu Überheblichkeit und Hochmut neigend, stellt die Altersgruppe der 35 bis 50-Jährigen dar. Sie setzt sich laut Studie am häufigsten über Regeln bzw. Sicherheitsvorgaben hinweg. Immerhin beachten diese Mitarbeiter im Alter zwischen 51 bis 69 – wenngleich sie sich von Cyberangreifern am einfachsten austricksen lassen. IT-Verantwortliche schätzen diese Gruppe der Mitarbeiter als besonders leichtgläubig ein.
Das Dilemma: Wichtigste Ressource mit höchstem Risikopotential
Trotz der Gefahr, die junge Mitarbeiter für die IT-Sicherheit im Unternehmen mit sich bringen, sind gerade sie die wichtigste Ressource. Denn nur mit ihnen – da sind sich die befragten Unternehmen einig – lässt sich auch der herrschende Fachkräftemangel beheben. Dieser stellt für 95 Prozent der befragten Sicherheitsexperten das größte Problem dar. Denn Unternehmen, die es nicht schaffen, Fachkräfte zu halten oder neue anzuwerben, werden die ohnehin bestehenden Risiken in Unternehmen noch erhöhen. Ein starkes Team aus gut ausgebildeten Fachkräften erachten die meisten Befragten sogar wichtiger als Budget-Erhöhungen oder Unterstützung aus der Chef-Etage. Dabei schaffen es gerade einmal 44 Prozent, gut ausgebildete Mitarbeiter einzustellen oder sie zu behalten.
Das Problem liegt auf der Hand: Ohne Mitarbeiter – insbesondere ohne junge Fachkräfte – geht es langfristig nicht. Mit ihnen ist es jedoch schwierig die Sicherheitsrisiken zu kontrollieren. Unternehmen sind mehr als jemals zuvor gefragt, technische Lösungen zu implementieren, die es einerseits erlauben Mobilgeräte und Applikationen mit ins Unternehmen zu bringen, andererseits aber die damit verbundenen Risiken einzudämmen.
Insbesondere junge, motivierte Nachwuchskräfte holen sich, was sie zum Arbeiten brauchen, ganz gleich ob Apps zum Filesharing, Produktivitäts-Software oder das private Mobilgerät. Eine sichere Mobilstrategie wäre ein wichtiger Schritt, denn laut Studie haben 58 Prozent der deutschen Unternehmen keine sichere BYOD-Strategie. Dabei gaben 56 Prozent der Befragten an, dass in ihrem Unternehmen unautorisierte Apps benutzt werden. Weitere 10 Prozent wussten nicht einmal, ob das überhaupt der Fall ist! Ein Anfang wäre es überhaupt, sich einen Überblick über Anwendungen, Systeme und vor allem über die Nutzer im Unternehmen zu verschaffen. Denn wer eine Übersicht hat, versteht auch, was seine Mitarbeiter benötigen. Dass eine solche Einsicht dringend notwendig wäre, bestätigen auch die Befragten: 87 Prozent von ihnen sehen ein gefährliches Silodenken im Unternehmen: Die IT-Sicherheitsabteilung kapselt sich vom Rest des Unternehmens ab. Was dabei heraus kommt: Regeln, die zwar für die Sicherheitsexperten sinnvoll sind, für alle anderen Mitarbeiter jedoch umständlich oder hinderlich bei ihrer täglichen Arbeit.
Sicherheitsrisiko: Veraltete Lösungen
69 Prozent der Befragten sind der Meinung, dass die bestehenden Sicherheitslösungen in den Unternehmen veraltet und unzureichend sind. Die veralteten IT-Sicherheitslösungen können die Risiken von Internetkriminalität, Verhaltensregeln der Mitarbeiter und organisatorischen Problemen jedoch nicht mehr im Zaum halten.
Was nach 74 Prozent der Befragten benötigt wird, ist vor allem ein neues IT-Sicherheits-Framework, um ihre Sicherheitsposition zu verbessern und das Risiko zu reduzieren. Eine neue Strategie ist in diesem Zusammenhang besonders wichtig, um solche potenziellen Risiken aus dem Internet der Dinge zu bewältigen. Für eine neue IT-Sicherheitsinfrastruktur sind jedoch bestimmte Technologien erforderlich. Als am wichtigsten angesehen werden dabei Identity & Access Management (78 Prozent), maschinelles Lernen (77 Prozent) und Konfiguration & Log Management (76 Prozent)
Sicherheitsrisiko: Komplexität
Mit dem Internet der Dinge einher geht auch eine zunehmende Komplexität von Geschäfts- und IT-Betrieb. Und genau die stellt für die meisten Unternehmen ein erhebliches Sicherheitsrisiko dar. 83 Prozent der Befragten sagen beispielsweise, dass die zunehmende Komplexität ihr Unternehmen anfälliger für Sicherheitsbedrohungen macht. Vor Herausforderungen stellt IT-Verantwortliche aber auch das rasante Wachstum an Daten (78 Prozent der Befragten) sowie die Integration von Dritten in interne Netzwerke und Anwendungen (76 Prozent der Befragten).
Datenklau, Erpressung, Spionage: Cyberbedrohungen kommen nicht ausschließlich von außen. Mitarbeiter stellen eine ebenso große Gefahr für die Datensicherheit dar. Ein falscher Klick auf einen Link oder den Anhang einer E-Mail, ein zu simples Passwort oder ein verlorenes Firmen-Notebook: IT-Abteilungen kennen viele solcher durch den Menschen verursachten Risiken. Gegen diese lassen sich IT-Strukturen aber nur aufwändig schützen. Im Rahmen einer adäquaten Sicherheitsstrategie dürfen IT-Verantwortliche deshalb nicht nur an einen umfassenden technischen Malware-Schutz, sondern auch an die menschliche Komponente der IT-Sicherheit denken.
Unachtsamkeit und Fehler schwächen IT-Sicherheit
Denn ganz gleich, wie gut die technische IT-Infrastruktur eines Unternehmens auch ist: Die Schwachstelle Mensch ist der entscheidende Risikofaktor in der Sicherheitskette. Wo er auf der einen Seite täglich die unternehmerische Infrastruktur mit seinem Know-how nutzt, so schwächt er sie auch mit Unachtsamkeit und Fehlern.
Ganz gleich, ob er nun auf gut gemachten Phishing-Betrug hereinfällt und auf einen Link, ein Bild oder eine Datei einer glaubwürdig wirkende E-Mail klickt und so Angreifern freien Zugriff auf das Unternehmensnetzwerk bietet, Passwörter aufschreibt und präsent am Arbeitsplatz aufbewahrt oder über private Geräte auf Unternehmensdaten zugreift: Mitarbeiter sind für IT-Entscheidungsträger eine Ernst zu nehmende Sicherheitslücke. Die Schwachstelle Mensch ist für das IT-Personal eine Herausforderung, welches mit geeigneten Strategien so gering wie möglich gehalten werden muss.
Der Beitrag Mitarbeiter: Zwischen Risikofaktor und dringend benötigter Fachkraft erschien zuerst auf GBS - Der Blog rund um Security, Collaboration & Co.
Mit der iQ.Suite von GBS umfassendes Lösungspaket zum E-Mail-Management, das alle notwendigen Bausteine auf dem Weg zur E-Mail-Compliance miteinander verbindet. Beginnend beim Viren- und Spamschutz, über Verschlüsselung und Haftungsausschluss bis hin zu rechtssicheren Archivierung decken wir alle Aspekte eines durchgängigen E-Mail-Managements ab.
