"Wenn wir uns große Informationssicherheitsvorfälle der letzten Jahre anschauen, in denen es zu großen Leaks kam, also etwa die Verfügbarkeit wichtiger System gestört wurde, dann lässt sich feststellen, dass diese Angriffe deshalb erfolgreich waren, weil Mitarbeiter die absoluten Grundlagen für das Schützen von Informationen nicht beachtet haben", weiß David Scribane, Experte für Cyber-Awareness und Referent an der isits AG- der International School of IT Security in Bochum.

Mitarbeiter ignorieren Vorschriften

Scribane macht die Erfahrung, dass Arbeitgeber und Mitarbeiter selbst einfachste Sicherheitsvorschriften ignorierten, dass es selbst auf so banale Fragen wie:

• Woran erkenne ich eine Phishing-Mail?

• Wie gehe ich mit Passwörtern um? Oder:

• Welche Firmenauskünfte kann ich gegenüber Dritten am Telefon geben?

Mitarbeiter oft genug hilflos reagierten.

Ein weiterer Aspekt, den Arbeitgeber und Mitarbeiter unterschätzten: Der Rechner werde nicht gesperrt, wenn ein Beschäftigter den Arbeitsplatz verlässt. Scribane zitiert Untersuchungen, wonach Fremde, also Personen, die nicht zum Unternehmen gehörten, im Durchschnitt erst nach etwa 15 bis 20 Minuten angesprochen werden.

Es fehlt jedwedes Bewußtsein für einen Angriff

Ein Hauptübel sieht der Awareness-Berater darin, dass Arbeitgeber ihre Mitarbeiter zu wenig für Sicherheitsthemen sensibilisieren. Denn der "normale" Mitarbeiter frage sich zurecht: Warum will jemand etwas von mir? Ich habe kein Zugriff auf Firmenkonten, beschäftige mich nicht mit strategischen oder sicherheitsrelevanten Themen. Noch gefährlicher stellt sich die Situation dar, wenn auch das Management so ähnlich denkt, nach dem Motto: Wir sind keine interessante Firma, da gibt es ganz andere Unternehmen, die für einen Angriff prädestiniert sind.

Scribane gibt zu bedenken, dass die Angreifer auch an Informationen interessiert sind, die auf den ersten Blick nicht sensibel erscheinen, die sich aber unter Umständen später monetarisieren lassen oder die Einblicke in die Struktur des Unternehmens geben, um danach den Angriff durchzuführen. "Wenn ich als Angreifer ein halbes Jahr über das anzugreifende Unternehmen recherchiere und mir so profundes Wissen aneigne, kann ich den Angriff gut planen und umsetzen, und der Angegriffene erkennt erst viel zu spät, was passiert", weiß der isits-Referent.

Tipps für Führungskräfte

Er möchte Unternehmen aufgrund seiner langjährigen Erfahrung als Berater in diesem Umfeld vor allem zwei Hinweise geben, wie sie Mitarbeiter für diese Themen motivieren können:

• Mitarbeiter benötigen eine gewisse Anschlussfähigkeit, heißt: Arbeitgeber müssen die Sicherheitsthemen so aufbereiten, dass sie verständlich erklärt werden, dass sie mit der unmittelbaren Lebenswirklichkeit der Beschäftigten zu tun haben, dass es eine eindeutige und einleuchtende Antwort geben muss auf die Frage: Was hat das mit mir zu tun. Sicherheitsregularien sollten transparent erläutert werden, damit Mitarbeiter ihren Sinn erkennen, dass sie helfen, das Unternehmen vor Angriffen zu schützen und nicht dazu da sind, die Beschäftigten zu schikanieren.

• Arbeitgeber müssen es schaffen, Betroffenheit zu erzeugen. Am besten funktioniere das, wenn die Firma über ihren Schatten springt und von eigenen Angriffen berichtet, was in den meisten Betrieben ein Riesentabu-Thema ist, weiß Scribane. Hilfreich sind auch Berichte, wenn Firmen aus der eigenen Branche oder aus der Region Ziel von Angriffen sind. So entstehe noch am ehesten Betroffenheit, auf jeden Fall eine viel größere, als wenn irgendwo in der Welt von einem Cyberangriff berichtet wird.

Für die Arbeitgeber hat der Awareness-Berater noch einen wichtigen Hinweis: Sie sollten wissen, welche fünf Prozent ihrer Informationen die wichtigsten sind, dass, wenn diese verloren gingen, die Existenz des Unternehmens auf dem Spiel stehe. Wenn sie diese fünf Prozent kennen, ließe sich auch das entsprechende Sensibilisierungsprogramm und Training zusammenstellen.Wie sich die Empfehlungen von Scribane am besten umsetzen lassen und noch viele weitere Tipps rund um Sicherheitsthemen, können Teilnehmer in Kursen an der isits AG - International School of IT Security erwerben.