Risiko Mitarbeiter 15.10.2020, 10:14 Uhr

Der Feind in den eigenen Reihen

Viele Unternehmen unterschätzen die Gefahren, die von den eigenen Mitarbeitern ausgehen. Dabei sind gerade die Angestellten meist das grösste Sicherheitsrisiko überhaupt.
(Quelle: Immersion Imagery / shutterstock.com)
Sicherheit ist im Bewusstsein der allermeisten Unternehmen inzwischen tief verankert: Firewalls, Endpoint-Security, Detection & Response, Access Control und viele weitere Techniken gehören wie selbstverständlich zum Abwehr-Arsenal gegen Cybercrime. Doch nicht wenige Firmen haben einen blinden Fleck - die eigenen Mitarbeiter.
Auch die beste Security-Technik schützt nicht vor der Schwachstelle Mensch. Nicht selten sind die Mitarbeiter ein Einfallstor für Angriffe und Malware. Dabei sind sie in der Regel nicht böswillig, es geschieht eher durch Gutgläubigkeit und Unachtsamkeit. Aktuelle Studien besagen, dass mehr als 80 Prozent der erfolgreichen Cyberangriffe auf menschliches Fehlverhalten zurückzuführen sind. Die Angriffsvektoren sind breit gefächert und reichen von Social Engineering und Phishing über Malware, E-Mails und Drive-by-Downloads bis hin zu zielgerichteten Attacken mit Hilfe von Deepfakes. Wenn es einem Angreifer gelingt, auch nur einen einzigen Mitarbeiter aufs Kreuz zu legen, dann ist die Sicherheit des gesamten Unternehmens gefährdet. 
Das muss aber keineswegs passieren: Mit den passenden Trainings und Schulungen wandeln sich die Mitarbeiter im besten Fall vom Sicherheitsrisiko zu einem unschätzbaren Sicherheitsfaktor.  
Eine Studie der Personalberatung Rochus Mummert kommt zu dem Ergebnis, dass 60 Prozent der IT-Entscheider mögliches Fehlverhalten der Mitarbeiter als hohes bis sehr hohes Risiko einschätzen. Zum Vergleich: Mängel in der IT-Infrastruktur oder beim Umgang mit Passwörtern halten nur 19 beziehungsweise 34 Prozent der Entscheider für ein hohes oder sehr hohes Sicherheitsrisiko.

Einfallstor Mitarbeiter

Die interne Bedrohung stellt für Unternehmen aller Grössenordnungen eine fortwährende Herausforderung dar. Denn der Mitarbeiter von heute setzt viele verschiedene Geräte ein, noch dazu häufig an unterschiedlichen Standorten. Die Aufgabe für die Unternehmen lautet, das ideale Gleichgewicht zu finden zwischen dem notwendigen Mitarbeiterzugriff und der gewünschten Datensicherheit. Dabei gilt der Grundsatz: Je besser die Mitarbeiter darüber Bescheid wissen, wie sie zum Schutz ihres Unternehmens beitragen können, desto sicherer und aufmerksamer verhalten sie sich.
Eine zentrale Aufgabe für die IT-Abteilung besteht darin, die Kontrolle darüber zu behalten, wer auf bestimmte Programme, Geräte und vertrauliche Informationen innerhalb des Unternehmens zugreifen kann. Dazu muss sie die verschiedenen Aufgabenbereiche kennen und den Zugriff jeweils auf bestimmte Mitarbeiter beschränken. Einen Sonderfall stellen dabei die nicht immer wohlgesinnten ehemaligen Mitarbeiter dar, die oft noch über weitreichende Zugriffsrechte verfügen. Hier sollte eine automatisierte Access Control für geordnete Verhältnisse sorgen.
Laut Christopher Schmid, Senior Vice President und Head of IT Security DACH beim IT-Dienstleister NTT Data, haben die meisten Unternehmen mittlerweile ihre Unternehmensnetzwerke und Systeme auf- und nachgerüstet, sodass es Hackern immer schwerer fällt, unbemerkt in die Firmennetze einzudringen. «Deshalb versuchen sie es über die Mitarbeiter, die aus Sicht der IT-Security in der Tat das grösste Risiko darstellen. Hacker wissen um die Schwächen der Mitarbeiter, die häufig Gefahren nicht erkennen, zum Beispiel die zum Teil wirklich gut gemachten Phishing-E-Mails, mit diesen falsch umgehen oder verdächtige Aktionen nicht melden.»
“Wenn unsere Büro­netzwerke auf Zero-Trust-Sicherheit basieren, dann sind unsere Netzwerke im Homeoffice genau das Gegenteil.„
Bogdan Botezatu, Threat Research and Reporting bei Bitdefender
Auch für Bogdan Botezatu, Director of Threat Research and Reporting beim Security-Spezialisten Bitdefender, sind die Mitarbeiter oft das schwächste Glied in der Sicherheitskette eines Unternehmens. «Meistens handeln sie in gutem Glauben, aber es fehlen ihnen schlicht die Cybersicherheitskenntnisse. Hin und wieder sind es aber auch verärgerte Mitarbeiter, die wissentlich Vorgaben umgehen. Eine Studie, die wir 2019 durchgeführt haben, zeigt, dass die Mitarbeiter bei den Sicherheitsbedenken von CISOs an erster Stelle stehen.» Ein mangelndes Verständnis der Mitarbeiter für die Cybersicherheit bei den täglichen Routinen ist demnach der grösste Stressfaktor für die IT-Fachbereiche (36 Prozent), gefolgt von Unterbesetzung der Teams (33 Prozent) und mangelndem Sicherheitsverständnis auf der Führungsebene (30 Prozent).
Jochen Koehler, Sales Director Security Solutions bei HP, sieht es so: «Viele Sicherheitsvorfälle wären zu vermeiden, wenn die Mitarbeiter adäquat für IT-Gefahren sensibilisiert wären. Diese Aussage ist zwar richtig, greift aber zu kurz. Viel wichtiger wäre die Implementierung eines Schutzschildes, der Unachtsamkeiten von Mitarbeitern folgenlos macht.» Er betont aber auch: «Natürlich muss bei der Sicherheit der Faktor Mensch Berücksichtigung finden. Mitarbeiter sind die letzte Verteidigungslinie in Sachen Sicherheit und damit auch ein bevorzugtes Angriffsziel. Gerade das Social Engineering, das vor allem in Form von Spear-Phishing-Mails auftritt, stellt eine grosse Gefahr für jedes Sicherheitssystem dar.»

Andreas Dumont
Autor(in) Andreas Dumont



Kommentare
Avatar
karnickel
17.10.2020
Interessante Zusammenkippung von Sicherheitsthemen. Nur, warum sollte sich jemand mit Phishing Mails und dergleichen befassen, wenn es doch - nach dem Titel des Artikels - um einen "Feind von innen" handelt. Dieser sitzt ja schon im Netz und hat eine interne Absenderadresse. Wahrscheinlich ist hier die Sicht der nicht feindlichen Mitarbeiterinnen und Mitarbeiter gemeint. Unerwähnt bleibt mein Eindruck, den ich von den Unternehmungen insgesamt zu deren Schutz gegen eine eigene, renitente Crew ist. Dieser wird nämlich ausschliesslich per Papiertiger erreicht. Egal ob, wie im Artikel erwähnt, die Belegschaft auf Grund von Fehlern oder absichtlich dem Boss Kosten verursacht, es soll abgesichert sein. Diese zu unterschreibenden Klauseln verschaffen der Unternehmung als Bestandteil des Arbeitsvertrages eine ausgesprochen einseitige Position, um unliebige Typen einfach loswerden zu können. Sollte es zu einem solchen Fall kommen, wäre vermutlich sogar die "Beweisführung" ausgesprochen einseitig: "Unsere IP-Logs haben ergeben...". Es wäre interessant, wie Gerichte bei sowas entscheiden würden. Auch interessant sind Austrittsverträge, die man "Bevor Du nun gehst hier einen Kribel!" unterzeichnet. Dort stehen Floskeln wie: "..damit entfallen sämtliche Rechtsansprüche...". Ganz klar nach Art. 341 OR unzulässig. Der Artikel hier behandelt allgemeine Sicherheitsaspekte im Unternehmen und nicht explizit Angestellte als Bösewichte. Insgesamt habe ich hier einfach den Eindruck, dass der Titel nicht so recht passt.