Sicherheitslücke Mensch: Security Awareness schaffen

„99 Prozent der Probleme sitzen vor dem Computer.“ – den Satz haben sie bestimmt schon mal von IT-Leuten gehört. Und es stimmt: Ihr Datenschutz kann noch so gut sein – wenn Mitarbeiter*innen und Kolleg*innen ihn, meist sogar unwissentlich, hintertreiben, dann bringt er leider auch nichts. Daher muss Datenschutz immer einhergehen mit sogenannter „Security Awareness“, um die Sicherheitslücke Mensch möglichst klein zu halten. Es gilt, die eigenen Angestellten für Gefahren und Risiken wie Datenklau, Hackerangriffe oder Industriespionage zu sensibilisieren. Denn rein technische Maßnahmen wie Firewalls reichen längst nicht mehr aus: Menschen sind bei weitem die größte Schwachstelle für die IT- und Informationssicherheit – 85 Prozent aller Datenlecks werden durch menschliches Versagen verursacht. Schuld daran sind aber selten organisierte Hackergruppen – eine größere Gefahr für Datendiebstahl, Industriespionage oder Sabotage geht von Hobby-Hackern und ehemaligen Mitarbeitern aus.

Schon vermeintlich kleine Zwischenfälle können großen Schaden anrichten. Wenn man im Geschäftsgespräch z.B. einen USB-Stick mit einer Präsentation des Gegenübers auf den eigenen Laptop zieht, droht die Gefahr von Ransomware, die die Daten des eigenen Firmennetzwerks so lange verschlüsselt, bis man ein Lösegeld zahlt. Die Anzahl an Ransomware-Angriffen ist zwischen 2019 und 2020 um 485 Prozent gestiegen. Mit dem richtigen Sicherheits-Bewusstsein sollte man also externe Speichermedien wie USB-Sticks grundsätzlich ablehnen. Leider kann sich das Ganze natürlich ebenso über E-Mail-Anhänge verbreiten – auch über lustige Bilder oder Videos, die oft weltweit verbreitet werden.

Auch ein guter Vorwand: Ein angeblicher IT-Kollege ruft an und berichtet von einem akuten Software-Problem auf dem Server, das er mit einem Update beheben muss und für das er dringend das Passwort benötigt. Seit der Corona-Pandemie ist es zudem normal, im Home-Office zu arbeiten. So wundert man sich seitdem einerseits weniger, wenn der IT-Kollege von einer Handynummer aus anruft. Möglicherweise handelt es sich sogar um eine Künstliche Intelligenz und man sitzt einem Deep Fake auf.

Andererseits ist man selbst im Home-Office auch IT-mäßig auf sich allein gestellt und so durchaus angreifbarer. Im Pandemie-Jahr 2020 haben Cyberkriminelle bei den Unternehmen in Deutschland einen so hohen Schaden verursacht wie noch nie – insgesamt 223 Milliarden Euro. (2019 gingen nur rund 103 Milliarden Euro verloren.) Ein Viertel der Schadenszunahme im Jahr 2020 lässt sich auf die Arbeit im Home-Office zurückführen: Zu wenige Firmen-Laptops, kaum Schulungen oder ungenügende bzw. schlicht nicht vorhandene Sicherheitskonzepte.

Die Zahlen entstammen einer Studie des IW, in der noch nicht einmal Unternehmen mit weniger als zehn Beschäftigten berücksichtigt sind. Aber gerade die haben häufig den größten Nachholbedarf bei IT-Sicherheit – und sind ein besonders attraktives Angriffsziel. Zum einen, weil der deutsche Mittelstand besonders innovativ ist, zum anderen, weil kleine und mittelständische Unternehmen häufig mit großen Konzernen kooperieren oder über ein Zuliefernetzwerk verbunden sind. Damit werden kleinere Betriebe zum schwächsten Glied in der Kette, und können so ungewollt Zugang zu Systemen größerer Unternehmen ermöglichen.

Der Sicherheitsstandard der privaten Wohnung wird bei den meisten weniger hoch sein als im Unternehmen: Angefangen beim WLAN: Ist das Passwort sicher? Wird es regelmäßig geändert? Idealerweise richtet man getrennte Netzwerke für berufliche und private Geräte ein. Auch die Nutzung von privaten Geräten für berufliche Zwecke erhöht die Gefahr, dass vertrauliche oder geheime Informationen versehentlich an Dritte gelangen. Und jedes zusätzliche vernetzte Gerät (Stichwort: Smart Home) stellt oft ein zusätzliches Risiko dar.

Immer beliebter wird außerdem „Social Engineering“ oder auch „soziale Manipulation“, bei der gezielt Verhaltensweisen beeinflusst werden. Beispielsweise wird eine vertrauliche Beziehung zu Menschen in Unternehmen hergestellt, um an sensible Informationen zu kommen. Im extremsten Fall werden sogar Mitarbeiter in Unternehmen eingeschleust oder Mitarbeitende mit Informationen erpresst, die über sie herausgefunden wurden. Diese Methoden setzen vor allem auf die Gutgläubigkeit und Unachtsamkeit von Menschen.

Und dann gibt es noch das „Dumpster Diving“, das Durchwühlen von Mülleimern. Hierbei wird nach unachtsam weggeworfenen Informationen im Müll gesucht, z.B. ein Passwort, das auf einen Zettel notiert und unachtsam weggeworfen wurde.

Sicherheitsrisiken werden aus unterschiedlichsten Gründen falsch eingeschätzt. Aufklärung über die realen Gefahren und die vielfältigen Sicherheitsrisiken ist darum zentral. Das Thema Daten- und Informationssicherheit sollte für alle Unternehmen ein zentrales Anliegen sein. Denn entwendete Geschäftsgeheimnisse können die gesamte Existenz von Unternehmen bedrohen. Schon bei der Einstellung und Einarbeitung von Mitarbeitenden sollte daher Sicherheit im Umgang mit Daten und Informationen thematisiert werden – und das Wissen dann regelmäßig aufgefrischt werden.

Apropros Auffrischung – an dieser Stelle seien noch drei weitere interessante Artikel verlinkt: