Sind Mitarbeiter die größte Sicherheitsschwachstelle im Unternehmen?
Wenn es um Sicherheit geht, ist der Mensch meist die größte Schwachstelle im System. Ihre Technologie kann mit sämtlichen Sicherheitsfeatures ausgestattet sein und dennoch könnte die Sicherheit des Unternehmens durch mangelhaft geschulte Mitarbeiter gefährdet werden.
Wie hoch ist also die Gefahr, die von Ihren Mitarbeitern ausgeht? Aus dem von IBM erstellten Cyber Security Intelligence Index 2016 geht hervor, dass 60 % aller Angriffe von Insidern ausgeführt wurden. Und zwar nicht nur aufgrund von Ungeschicklichkeit oder menschlichem Versagen. Cyberkriminalität nimmt immer mehr zu und Cyberkriminelle lauern nicht nur in den Tiefen des Dark Web – es kann genauso gut sein, dass sie direkt in Ihrem Büro sitzen.
Unternehmen sind der Gefährdung durch ganz unterschiedliche Arten von Cyberkriminellen ausgesetzt – beispielsweise Aktivisten, die absichtlich Daten öffentlich machen, oder Angestellte, die sich ungerecht behandelt fühlen und Informationen an die Presse verkaufen, um ihrem Arbeitgeber zu schaden. Und dann müssen Sie sich natürlich noch vor Mitarbeitern in Acht nehmen, die gezielt mit Hackern oder Betrügern zusammenarbeiten, an die sie Kennwörter oder sensible Daten weiterleiten oder die Malware in Ihrem System installieren. Der Faktor Mensch ist leider unberechenbar.
Sie können Ihre größte Schwachstelle aber zu Ihrem Kapital machen.
Sorgen Sie dafür, dass Sicherheitsschulungen bei Ihren Mitarbeitern im Mittelpunkt der Geschäftsentwicklung stehen, damit sie in der Lage sind, selbst Angriffe abzuwehren. Das erfordert einigen Aufwand, aber versetzen Sie sich einmal in Ihre Mitarbeiter hinein: Wenn mein Arbeitgeber bei der Datensicherheit auch in mich investiert, mich direkt daran beteiligt und mir offensichtlich vertraut, fühle ich mich als Mitarbeiter geschätzt und ernst genommen.
Ich würde Ihnen den Rat geben, Ihre Mitarbeiter nicht als Bedrohung anzusehen – zeigen Sie ihnen stattdessen, wie sie selbst quasi zum Schutzschild gegen die Cyberkriminalität werden können. Um das zu erreichen, gibt es drei einfache Methoden:
1.Fangen Sie in der Hierarchie ganz oben an
Effektive Kommunikation zwischen der Sicherheitsabteilung und der Geschäftsführung muss genauso selbstverständlich sein wie zwischen der IT-Abteilung und den Mitarbeitern. Führen Sie regelmäßige Briefings ein, damit das Management umfassend über die Bedrohungen informiert ist und sich auch über die möglichen Implikationen im Klaren ist. Erläutern Sie, inwiefern Mitarbeiter Teil der Lösung sein können. Auch die Vorbildfunktion der Führungsebene sollte nicht unterschätzt werden: Sobald Ihre Mitarbeiter erkennen, dass die Geschäftsführung die Sicherheit des Unternehmens ernst nimmt, werden sie ihrem Beispiel folgen.
2.Verschlüsseln Sie alles
Verwenden Sie standardmäßig die zweistufige Überprüfung und weisen Sie Nutzer entsprechend ihren Fähigkeiten und Kompetenzen unterschiedlichen Sicherheitsgruppen zu. Passen Sie die Schulungsmethoden an Ihre Mitarbeiter an: Für diejenigen, die bereits Kenntnisse mitbringen, müssen Sie nicht das Rad neu erfinden. Andere Mitarbeiter hingegen benötigen eine umfassendere Schulung, damit sie verstehen, warum es so wichtig ist, dass auch sie eine aktive Rolle hinsichtlich der Cybersicherheit übernehmen.
3.Achten Sie auf positive Formulierungen
Benutzen Sie von Anfang an positive Formulierungen und Begriffe wie „Schutzschild“ anstatt „Bedrohung“ und sprechen Sie mit Ihren Mitarbeitern auf Augenhöhe. Vertrauen Sie ihnen und wecken Sie ihr Interesse für den Schutz des Unternehmens vor Bedrohungen. Cyberkriminalität ist ein ernstes Thema, aber ein positiver Ansatz ist viel erfolgversprechender, als wenn sich Ihre Mitarbeiter abqualifiziert fühlen. Sie können beispielsweise auch finanzielle Anreize schaffen oder Botschafter ernennen, die Ihre Ziele für Sie vertreten – Stakeholder-Management ist das Stichwort: Wenn sich all Ihre Mitarbeiter für die gemeinsame Sache verantwortlich fühlen, ziehen auch alle am gleichen Strang.
Ein erhöhtes Bewusstsein für Cyberkriminalität zu haben, kommt Ihren Mitarbeiter ein Leben lang zugute, beruflich als auch privat. Sorgen Sie dafür, dass die Schulungen für Ihre Mitarbeiter auch außerhalb des Arbeitsumfelds relevant sind. Wenn Ihre Mitarbeiter feststellen, dass sich die neu erworbenen Kenntnisse nicht nur für ihren Arbeitgeber rentieren, sondern auch für sie selbst oder sogar ihre Familien, dann werden sie automatisch mehr Interesse zeigen. Ihre geschulten Mitarbeiter können auf diese Weise zum wichtigsten Kapital Ihres Unternehmens werden.
Jane Frankland ist Expertin für Cybersicherheit und Geschäftsführerin von Cyber Security Capital, einem Beratungsunternehmen, das Cybersicherheitsexperten bei der beruflichen Weiterbildung und Unternehmen in der Branche bei der Skalierung und Expansion unterstützt. Sie setzt sich mit Leidenschaft dafür ein, die Anzahl der Frauen in der Cybersicherheit zu erhöhen, und hat dazu auch schon ein Buch geschrieben: „In Security: How a failure to attract and retain women in cyber security is making us all less safe.“ (Datensicherheit: Wie die Unfähigkeit, Frauen für die Cybersicherheitsbranche zu gewinnen und zu behalten, uns alle weniger sicher macht.)