Das Problem sitzt immer vor dem Computer Mitarbeiter als Sicherheitsrisiko im Unternehmen

Anbieter zum Thema

FAULHABER SA

‘Das Problem sitzt immer vor dem Computer.’ ist ein Satz, welcher in der IT-Welt gerne fällt. Solange es noch um einen nicht eingeschalteten Drucker oder eine Feststelltaste geht, kann man darüber auch noch schmunzeln. Aber sobald das Problem vor dem Computer auch die Sicherheitslücke ist, hat man nichts mehr zum Lachen.

IT-Sicherheit steht mehr denn je im Fokus: Cyberangriffe werden immer ausgeklügelter und ein Grossteil der Sicherheitsvorfälle lässt sich auf menschliche Fehler zurückführen. Selbst die beste Technologie kann nicht die grösste Schwachstelle im System eliminieren: den Menschen. Mitarbeiter stellen eines der grössten Risiken für die IT-Sicherheit eines Unternehmens dar. Doch warum ist das so, und wie können Unternehmen effektiv gegensteuern?

Unwissenheit und mangelndes Bewusstsein

Ein Grossteil der Sicherheitsvorfälle lässt sich auf menschliche Fehler zurückführen. Viele Mitarbeiter sind sich der Gefahren, die von Phishing-E-Mails, Social-Engineering-Angriffen oder unsicheren Passwörtern ausgehen, nicht bewusst. Laut einer Studie von Verizon resultieren 82 % der erfolgreichen Sicherheitsverletzungen aus menschlichem Fehlverhalten.

Beispiel: Eine scheinbar harmlose E-Mail mit einem Link zu einer gefälschten Website könnte ausreichen, um einem Angreifer Zugang zu sensiblen Unternehmensdaten zu verschaffen. Zum Beispiel getarnt als Umfrage einer Hochschule oder firmeninternes Gewinnspiel. Wenn die E-Mail dann noch von einer oberflächlich vertrauenerweckenden E-Mail-Adresse kommt, wird diese auch nicht mehr hinterfragt.

Ohne regelmässige Schulungen erkennen viele Mitarbeiter solche Bedrohungen nicht.

Technologische Unterschätzung

Technologien wie Multi-Faktor-Authentifizierung (MFA) oder Endpunkt-Schutz bieten zwar zusätzliche Sicherheit, sind jedoch nur so effektiv wie ihre Nutzer. Mitarbeitende, die unsichere Workarounds nutzen oder Sicherheitsvorgaben ignorieren, können bestehende Schutzmassnahmen leicht umgehen.

Social Engineering: Der menschliche Faktor als Einfallstor

Cyberkriminelle setzen häufig auf Social Engineering, um Sicherheitsbarrieren zu überwinden. Dabei wird gezielt das Vertrauen oder die Unachtsamkeit von Mitarbeitern ausgenutzt, um an vertrauliche Informationen zu gelangen. Beispielsweise geben sich Angreifer als interne IT-Abteilung aus, um Passwörter zu erschleichen oder Zugriffe auf Systeme zu erhalten. Oft spielen auch menschliche Eigenschaften wie ein ‘Urvertrauen’ zu Kolleg:innen oder externen Partnern eine Rolle. Mitarbeitende neigen dazu, vermeintlich harmlose Informationen leichtfertig weiterzugeben.

Häufige Fehler von Mitarbeitern und Mitarbeiterinnen:

• Schwache oder identische Passwörter: Mitarbeiter/Mitarbeiterinnen nutzen oft dasselbe Passwort für mehrere Plattformen – privat und beruflich. Diese Passwörter sind häufig schwach und leicht zu erraten. Tipps zu sicheren Passwörtern gibt es beim BSI.

• Gefahr durch Phishing-Mails: Phishing-Angriffe nutzen die Unerfahrenheit vieler Mitarbeiter aus, indem sie sie dazu bringen, auf gefälschte Links zu klicken oder schädliche Anhänge zu öffnen. Siehe auch die Phishing-Simulationen von Blue Consult.

• Nachlässiger Umgang mit USB-Sticks: Oft werden private USB-Sticks verwendet, die potenziell Schadsoftware enthalten.

• Unbedachtes Öffnen von Dateien: Viele Mitarbeitende öffnen Anhänge in E-Mails, ohne die Quelle zu prüfen, was ein erhebliches Sicherheitsrisiko darstellt.

• Unsichere Datenspeicherung: Firmendaten werden aus Bequemlichkeit auf private Cloud-Dienste hochgeladen, insbesondere wenn das Unternehmen keine geeigneten Alternativen bereitstellt.

• Nicht gesperrte Rechner: Mitarbeiter und Mitarbeiterinnen vergessen oft, ihre PCs zu sperren, wenn sie ihren Arbeitsplatz verlassen. Dies bietet potenziellen Angreifern im direkten Umfeld einfachen Zugriff auf vertrauliche Daten.

Bring Your Own Device (BYOD), Homeoffice und mobiles Arbeiten

Mit der zunehmenden Verbreitung von BYOD-Richtlinien, mobilen Arbeitsplätzen und der Arbeit aus dem Homeoffice entstehen zusätzliche Risiken. Private Geräte sind oft schlechter geschützt und können als Einfallstor für Angriffe dienen. Auch die Nutzung unsicherer WLAN-Netzwerke zu Hause oder in öffentlichen Cafés erhöht die Angriffsfläche erheblich.

Unser Tipp: Es ist günstiger, Mitarbeitern ein Firmensmartphone für die Authentifizierungs-App zur Verfügung zu stellen, als später eine Schwachstelle im internen Netz zu suchen.

Interne Bedrohungen: Absichtliche Angriffe von Mitarbeitern

Nicht alle Sicherheitsrisiken resultieren aus Unwissenheit. Manche Sicherheitsvorfälle werden absichtlich von unzufriedenen oder ehemaligen Mitarbeitern herbeigeführt. Diese Personen haben oft direkten Zugang zu sensiblen Daten und können diese aus Rache oder finanziellen Motiven missbrauchen.

Daher gilt: Sowohl online als auch offline den Zugriff auf die Daten nach dem Austritt verbieten. Nicht alle Mitarbeiter und Mitarbeiterinnen lassen beim Austritt aus der Firma alles in der Firma. Von Firmengeheimnissen bis zu Notizzetteln kann vieles gefährlich werden. Egal, ob absichtlich oder unabsichtlich. Wenn das Bauchgefühl bei der Kündigung schlecht ist, ist eine Freistellung des Mitarbeiters definitiv günstiger als ein Sicherheitsleck.

Wie Unternehmen reagieren sollten

Obwohl der menschliche Faktor ein erhebliches Risiko darstellt, gibt es effektive Massnahmen, um die IT-Sicherheit zu erhöhen:

• Regelmässige Schulungen: Mitarbeitende sollten kontinuierlich über aktuelle Bedrohungen und Sicherheitsrichtlinien informiert werden. Interaktive Trainings und realistische Phishing-Simulationen können das Bewusstsein schärfen.

• Klare Richtlinien: Unternehmen sollten klare und verbindliche Richtlinien für den Umgang mit IT-Ressourcen definieren. Dazu gehören unter anderem Vorgaben für Passwörter, die Nutzung von BYOD und den sicheren Umgang mit Daten.

• Technologische Unterstützung: Sicherheitslösungen wie Endpoint Detection and Response (EDR), Multi-Faktor-Authentifizierung und automatische Updates können viele Risiken minimieren.

• Zero-Trust-Ansatz: Dieser Ansatz geht davon aus, dass kein Nutzer und keine Ressource von Natur aus vertrauenswürdig sind. Zero Trust = Kein Vertrauen. Zugriffsrechte werden streng kontrolliert und nur nach Bedarf vergeben. Mehr dazu in diesem Whitepaper.

• Kultur der Offenheit: Mitarbeitende sollten ermutigt werden, verdächtige Vorfälle sofort zu melden, ohne Angst vor Konsequenzen zu haben.

Mitarbeitende sind nicht nur das grösste Risiko, sondern auch die erste Verteidigungslinie eines Unternehmens. Mit der richtigen Kombination aus Schulungen, Technologie und klaren Richtlinien können Unternehmen ihre Mitarbeiter und Mitarbeiterinnen zu einer stärkeren, bewussteren und kompetenteren Verteidigung gegen Cyberangriffe machen.

(ID:50663091)