Das Dell Insider-Portal: Für alle, bei denen die Umsetzung mehr zählt als die Theorie:
Mit echten Fallbeispielen und Erfahrungsberichten zu den aktuellsten IT-Themen

 

Mitarbeiter und IT-Sicherheit – Risiken erkennen

Zwei Herzen schlagen in meiner Brust: das des Programmierers und Technikers und das des Vollblut-Journalists und Content-Junky. Seit 30 Jahren schreibe ich Programme, Artikel, Kompendien, Web-Seiten-Inhalte und Social-Media-Schnipsel und habe immer noch Spaß dran. Derzeit befasse ich mich - nicht nur für Dell - intensiv mit den Themen Cloud und Security.
Ein falscher Klick auf einen Link oder Anhang einer E-Mail, ein zu simples Passwort oder ein verlorenes Firmen-Notebook: IT-Abteilungen kennen viele solcher durch den Menschen verursachten Risiken. Gegen diese lassen sich IT-Strukturen aber nur aufwändig schützen. Als verantwortungsvoller IT-Leiter und/oder Administrator sollten Sie daher nicht nur an umfassenden technischen Malware-Schutz, sondern auch an die menschliche Komponente der IT-Sicherheit denken.

Bei der Arbeit am PC sind Bedienfehler nie auszuschließen. Die meisten IT-Verantwortlichen versuchen zwar, ihre Technik sicher vor Fehlern und den damit verbundenen Gefahren zu machen, vernachlässigen dabei aber häufig die menschliche Komponente, die den PC bedient. Doch gerade bei ihr lauern viele Gefahren für die Sicherheit der Unternehmens-IT. Von allen Sicherheitslücken lassen sich laut Ponemon Institute© Research Report: The Post Breach Boom, February 2013 (PDF in englischer Sprache), immerhin 70 Prozent auf den Risikofaktor Mensch zurückführen. Eine Umfrage der Bitkom kam zu ähnlichen Zahlen. Da die IT-Technik alleine nur wenig bis gar nichts dagegen setzen kann, ist es für das IT-Personal eine große Herausforderung, dieses Risiko mit geeigneten Strategien so gering wie möglich zu halten.

Die E-Mail als Hintertür für Angreifer

Oft sind es mehrere menschliche Fehler, die ein Sicherheitsrisiko nach sich ziehen. Am häufigsten versuchen Angreifer über hinterlistiges Phishing in die IT-Strukturen einzudringen und so sensible Daten zu stehlen. Diese Methode ist auch als Social Engineering bekannt. Dabei erhält der Mitarbeiter zunächst eine E-Mail, deren Inhalt seine soziale Komponente ansprechen soll, etwa Neugier, verletzte Eitelkeit, Neid oder Schadenfreude. Ziel ist es, den Empfänger der Phishing-Mail dazu zu bewegen, eine Datei oder einen Link innerhalb der E-Mail anzuklicken. Gelingt das, wird zumeist ein Trojaner ins System eingeschleust, um damit beispielsweise die gewünschten Daten oder Informationen zu bekommen.

Solche Attacken sind an der Tagesordnung. Da Phishing-Mails in großer Zahl an alle Mitarbeiter verschickt werden, ist die Chance groß, dass nicht nur ein, sondern mehrere Angestellte darauf hereinfallen. Hinzu kommt, dass es meist Wochen dauern kann, bis solch eine Attacke vom IT-Personal entdeckt wird. Das wiederum gibt den Angreifern genügend Zeit, an die gewünschten Informationen zu gelangen.

Damit es möglichst nicht so weit kommt, sind entsprechenden Maßnahmen vom IT-Personal zu ergreifen. Denn Spam-Filter alleine erkennen nicht sämtliche Phishing-Mails, um sie herauszufiltern. Deswegen müssen die Mitarbeiter im Unternehmen darauf geschult werden, woran Phishing-Mails zu erkennen sind und wie damit umzugehen ist.

Um sich einen Überblick zu verschaffen, wie Mitarbeiter Phishing-Mails behandeln, können beispielsweise vom IT-Personal zur Kontrolle E-Mails verschickt werden, die wie eine Phishing-Mail aussehen. Klickt ein Mitarbeiter auf den darin befindlichen Link oder auf die Datei, bekommt das IT-Personal eine entsprechende Meldung und kann ihn gesondert auf seinen Fehler aufmerksam machen.

»
Whitepaper zum Artikel

Passwort-Regeln

Passwörter sind normalerweise dazu gedacht, nur befugte Personen den Zugriff auf bestimmte IT-Geräte, Anwendungen und Daten zu gewähren. Ein Passwort sollte daher so gewählt werden, dass es nicht so einfach erraten werden kann. Aber genau hier lauern weitere menschliche Schwächen. Passwörter die beispielsweise aus dem Namen lieber Mitmenschen, der eigenen Kinder oder des Haustiers bestehen, lassen sich mit etwas Recherche leicht erraten. Und der berühmte gelbe Zettel am Monitor oder unter der Tastatur, auf dem das Passwort notiert ist, muss grundsätzlich tabu sein.

Auch ist das IT-Personal des Unternehmens gefordert. Zum einen sollten Schulungen oder Unterweisungen genau festlegen, wie ein Passwort aussehen muss, damit es eine hohe Sicherheit hat. Zum anderen müssen aber auch die IT-Mitarbeiter dafür sorgen, dass Passwörter in regelmäßigen Zeitabständen geändert werden. Des Weiteren sollten Systeme abgeschafft werden, bei denen die Mitarbeiter für den Zugriff auf unterschiedliche Datenbereiche verschieden Passwörter benötigen. Besser für die Arbeitsproduktivität ist es, dafür nur ein Passwort zu verwenden. Moderne IT-Strukturen können das problemlos realisieren.

Deutlich mehr als die Hälfe aller entdeckten Sicherheitsverletzungen in der IT wurden vor Ort verursacht, so das Ergebnis einer Umfrage der Bitkom.
Deutlich mehr als die Hälfe aller entdeckten Sicherheitsverletzungen in der IT wurden vor Ort verursacht, so das Ergebnis einer Umfrage der Bitkom.
Foto: BITKOM

Sicherheit für mobile Endgeräte

Zu den menschlichen Faktoren zählen unter anderem auch die Vergesslichkeit und Unaufmerksamkeit. Nutzt man für seinen Arbeitsalltag mobile Endgeräte wie Smartphone, Tablet-PC oder Notebook, ist die Gefahr groß, solch ein Gerät ungewollt irgendwo liegen zu lassen. Auch besteht die Gefahr, dass dieses Gerät gestohlen wird.

Wenn Unbefugte dann Zugriff auf die Daten bekommen, ist der Schaden meist wesentlich höher als der Wert des abhanden gekommenen Geräts. Eine gute Sicherheit bietet daher die Verschlüsselung der Daten. Das sollte innerhalb moderner IT-Strukturen auch kein Problem sein und strikt befolgt werden. Zudem moderne Verschlüsselungstechniken in Verbindung mit aktueller Hardware der Endgeräte die Produktivität der Anwender nicht spürbar beeinflussen. Zudem sorgen Diebstahlsicherungen dafür, dass sensible Firmendaten auf dem betroffenen Gerät unwiederbringlich gelöscht werden, sollte das Gerät in fremde Hände gelangen. Werden die mobilen Geräte darüber hinaus für den beruflichen und privaten zugleich genutzt, sind weitere Sicherheitsmaßnahmen zu treffen, damit private Aktionen keinen Einfluss auf die Firmendaten haben können.

Bequemlichkeit gehört ebenfalls zu den menschlichen Faktoren, die vom IT-Personal beachtet werden muss. So ist es heutzutage selbstverständlich, Daten über Cloud-Medien auszutauschen. Datenträger wie USB-Sticks oder gar CDs/DVDs verlieren dafür mehr und mehr an Bedeutung. Bestand hierbei verstärkt die Gefahr des Verlusts der Daten, weil man den Datenträger verloren oder irgendwo liegen gelassen hat, stellen vor allem die Public Clouds eine Gefahr für einen einfachen Diebstahls dar. Hier haben daher sensible Firmendaten nichts zu suchen. Die IT-Abteilung im Unternehmen sollte dafür sorgen, dass die Mitarbeiter diese Forderung auch einhalten. Auch das lässt sich mit modernen IT-Strukturen recht einfach realisieren.

Viele mobile Endgeräte werden beruflich und privat genutzt. Hier lauern besondere Gefahren für die IT-Sicherheit von Unternehmen.
Viele mobile Endgeräte werden beruflich und privat genutzt. Hier lauern besondere Gefahren für die IT-Sicherheit von Unternehmen.
Foto: Dell

Moderne IT-Hardware beugt vor

Schutz gegen menschliche Fehler bietet darüber hinaus moderne IT-Hardware, etwa aktuelle Next-Generation-Firewall-Systeme. Bei deren Wahl sollte daher auch darauf geachtet werden, dass diese ohne spürbare Einbuße der Geschwindigkeit, den gesamten Datenverkehr im Netzwerk überwachen und auch vorbeugend gegen Gefahren Maßnahmen ergreift.

Mit modernen IT-Strukturen sind Administratoren beispielsweise in der Lage genau festzulegen, welche Webseiten ein Mitarbeiter besuchen darf und welche nicht. Das lässt sich außerdem auf nur bestimmte Mitarbeiter oder Gruppen festlegen. Diese Maßnahme trägt ebenfalls dazu bei, menschliche Fehler zu begegnen. Denn es ist eine Tatsache, dass viele Mitarbeiter von ihrem Arbeitsplatz aus durchaus auch Webseiten besuchen, die für die Firma eine Gefahr sein können. Hierbei ist es vor allem wichtig, dass dem Mitarbeiter auch der Grund mitgeteilt wird, warum er diese Seite nicht sehen kann. Anderenfalls würden es die meisten versuchen, einen anderen Weg zu finden, um dorthin zu gelangen.

Fazit

Jeder Mensch macht Fehler und daher ist der menschliche Faktor innerhalb einer Unternehmens-IT ernst zu nehmen und kritisch auf den Prüfstand zu stellen. Eine zentrale Rolle bei der Einhaltung der Sicherheit spielt dabei die IT-Abteilung im Unternehmen. Sie muss die menschlichen Faktoren genau kennen und wissen, welche Maßnahmen zu ergreifen sind. Dazu zählen neben der Administration der IT-Strukturen auch die Festlegung der Sicherheitsregeln, die Überwachung deren Einhaltung und nicht zuletzt auch gezielte Schulungen der Mitarbeiter.

Werden diese Maßnahmen konsequent durchgeführt, wird damit das durch die Mitarbeiter mögliche Sicherheitsrisiko stark gesenkt. Die so geschaffene Compliance-Kultur im Unternehmen kommt daher sowohl den Mitarbeitern als auch dem Unternehmen zugute.

Umfangreiche weitere Informationen zu diesem Thema finden Sie im Whitepaper, das Sie über den Download-Kasten oben herunterladen können, und auf Dell.de/Sicherheit

Weitere Informationen:

Risikofaktor Mensch - Herausforderung für die IT-Sicherheit

Diebstahl ohne Schrecken - mobil sicher unterwegs

Flexibel & sicher - Lösungen mit Rundumschutz