Cybersicherheit und der menschliche Faktor: Gleichgültigkeit macht Ihr Unternehmen angreifbar

Das Geschäftsjahr neigt sich dem Ende zu. Eine Zeit, in der die Frage nach dem Budget für das nächste Jahr Millionen Arbeitnehmer beschäftigt. Gleichzeitig schwellen überall die Ausgaben für Datensicherheit auf ungeahnte Summen an. Schätzungen gehen davon aus, dass in 2018 weltweit für Cybersicherheit 124 Milliarden Dollar ausgegeben werden. Eine kolossale Summe. Und eine Zahl, die auch nicht zu hoch angesetzt ist. Allein 2018 verursachten Cyberkriminelle Schäden in Höhe von 1 Milliarden Dollar. Prognosen zufolge soll diese Zahl bis 2021 auf 6 Billionen Dollar klettern.  

Während Unternehmen weiterhin astronomische Summen in Prozesse und Technologie investieren, gibt es ein drittes Stück im Cybersicherheit-Puzzle, für das sehr wenig ausgegeben wird: der Mensch. Viele sind überrascht, dass 90 Prozent aller Cyberangriffe und Informationsabflüsse die Folge von menschlichen Fehlern oder Verhaltensweisen sind und nicht durch mangelhafte Technologie verursacht wurden. 

Mitarbeitereinbindung ist inzwischen ein IT-Thema

Fehler und menschliches Versagen sind bis zu einem gewissen Grad unvermeidlich. Eine wirksamere Mitarbeitereinbindung kann aber vorsätzlichen Verstößen gegen Sicherheitsprotokolle vorbeugen und durch Nachlässigkeit verursachte Datensicherheitsvorfälle verhindern.

Gleichgültigkeit ist für Unternehmen eines der größten Sicherheitsrisiken. Wie aus einer 2016 durchgeführten Studie hervorgeht, gingen 22 Prozent aller Datenschutzverletzungen böswillige Mitarbeiteraktivitäten voraus. In 65 Prozent aller Fälle war schlicht Nachlässigkeit die Ursache. Bei unmotivierten Mitarbeitern ist die Wahrscheinlichkeit größer, dass sie auf Manipulationsversuche von außen eingehen, Systeme durch nachlässiges Handeln angreifbar machen und vertrauliche Informationen nach außen geben. Zahlen belegen dies: Bei unmotivierten Mitarbeitern ist die Wahrscheinlichkeit eines Datenangriffs fünfmal größer

Die 3 Hauptgründe, warum Mitarbeiter IT-Sicherheit nicht ernst genug nehmen

1. Bewusstseinswandel bei den Themen Datenbesitz und Datenschutz

Millennials sind mit dem Internet aufgewachsen und sehen es als selbstverständlich an, dass es Teil jedes Lebensaspekts ist. Der Boom der sozialen Medien hat zudem eine Kultur des Teilens befeuert. Viele von ihnen geben höchst persönliche und vertrauliche Details zu ihrem Privat- und Arbeitsleben heraus, ohne genau zu wissen, mit wem sie es zu tun haben.

Vor diesem Hintergrund verwundert es nicht, dass nur relativ wenige die Datensicherheitsverfahren ihrer Arbeitgeber voll und ganz kennen. Bei Millennials ist der Anteil derer, die Passwörter mehrfach verwenden, größer als bei jeder anderen Bevölkerungsgruppe. 60 Prozent von ihnen nehmen „in den meisten Fällen“ Kontaktanfragen Fremder an. Und schließlich scheint die Ansicht darüber, wem die am Arbeitsplatz generierten Daten gehören, nicht immer mit der des Arbeitgebers übereinzustimmen. 72 Prozent aller Millennials sind der Ansicht, dass sie ein Anrecht auf die Daten haben, an denen sie arbeiten. Bei den Babyboomern liegt diese Quote bei 41 Prozent. 

2. Ein sensibles und kompliziertes Thema

Das Tempo des technischen Fortschritts überfordert unsere Anpassungsfähigkeit. Die Sicherheitsprotokolle, die Unternehmen als Reaktion darauf eingeführt haben, werden stetig weiterentwickelt und sollen den Zugriff auf sensible Daten begrenzen. Zwei-Faktor-Authentifizierung, VPNs, Mobilgerätemanagement und andere Technologien und Programme können für den Durchschnittsmenschen jedoch schwer nachvollziehbar sein.

Die meisten Internetnutzer sind einfach nicht mit den neuesten Sicherheitsstandards und Best Practices vertraut. Außerdem werden mit einigen Sicherheitsprogrammen auch Apps auf Privatgeräten installiert oder geben den Zugriff auf diese frei. Inzwischen wird Arbeitnehmern unwohl beim Gedanken an diese Vorkehrungen. Sie nehmen sie als Eindringen in ihre Privatsphäre wahr.

3. Schlechte Kommunikation und Zusammenarbeit mit der IT

Die besten Sicherheitspläne sind nutzlos, wenn der Rest des Unternehmens damit nichts anfangen kann. Für IT-Teams ist es entscheidend, ein Bewusstsein zum Thema IT-Sicherheit aufzubauen und alle im Unternehmen dazu zu bewegen, Datenverlust oder Sicherheitsverletzungen nicht zuzulassen. 

Problematisch wird es, wenn in einer Sprache kommuniziert wird, die für nichttechnische Kollegen nicht verständlich ist, oder wenn sich Mitarbeiter aus Diskussionen ausgeschlossen fühlen. Es war immer so, dass IT-Teams nie ausreichend beigebracht wurde, auf den „menschlichen“ Teil ihrer Arbeit zu achten. Technologie und Prozesse zählten immer mehr als Kommunikation und Zusammenarbeit.

3 Ansätze, um mit verbesserter Mitarbeitereinbindung Datenverlust/Datendiebstahl zu verhindern

1. Mitarbeiter zur Wachsamkeit ermahnen

Jeder im Unternehmen muss dazu beitragen, dass Daten vor Sicherheitsverletzungen geschützt sind. Wenn Mitarbeiter eingebunden sind und sich persönlich verpflichtet fühlen, das Unternehmen und die Kollegen zu schützen, sind sie Sicherheitsprogrammen gegenüber aufgeschlossener und gehen mit sensiblen Informationen sorgsamer um. Wenn neben dem IT-Team alle im Unternehmen auf Sicherheit achten, sinkt das Risiko für Unternehmen beträchtlich.

2. Besserer Informationstransfer durch IT-Teams

Die technischen Systeme müssen richtig funktionieren und es müssen Schutzmechanismen eingerichtet sein. Das ist Grundvoraussetzung für Cybersicherheit. Ein engagierter IT-Leiter nimmt sich die Zeit, um Mitarbeiter aufzuklären und in Zusammenarbeit mit anderen Abteilungsleitern dafür zu sorgen, dass alle die Gefahren kennen und wissen, wie man sich schützt.
Engagierte IT-Teams schärfen gemeinsam mit den Kollegen aus der Kommunikationsabteilung das Bewusstsein für Sicherheitsinitiativen, um deren Akzeptanz zu fördern. Diese Investition lohnt sich. Schließlich trägt sie zum Schutz vor internen und externen Bedrohungen bei.

3. Abschreckung vor Datendiebstahl

Eine Belegschaft, der der Schutz des Unternehmens und der Kollegen wichtig ist, wird eher nicht beim Datendiebstahl mitmachen. Eingebundene Mitarbeiter sind eher dazu bereit, sich die Unternehmensrichtlinien zum Umgang mit Daten durchzulesen und nach diesen zu handeln. Außerdem haben sie ein stärker ausgeprägtes Bewusstsein zu den Folgen eines Verstoßes.

Argumente, mit denen IT-Führungskräfte Mitarbeiter für Sicherheitsthemen sensibilisieren

1. Die wirtschaftlichen Folgen

Für Kollegen ohne technischen Hintergrund kann es schwer nachvollziehbar sein, wie Sicherheitsverletzungen eintreten und welchen Schaden sie anrichten können. Deshalb kommt es darauf an, dass die IT-Führungskräfte die Sprache dieser Kollegen sprechen und die Bedrohungssituation so erklären, dass sie verständlich ist und ernst genommen wird.

Stellen Sie die wirtschaftlichen Risiken und die schweren Störungen heraus, die Angriffe und Datendiebstahl auslösen können. Konkrete Zahlen verdeutlichen die Folgen. Weisen Sie wann immer möglich auf die finanziellen Auswirkungen hin. Sicherheitsverletzungen haben konkrete Auswirkungen. Dies sollte vor allem dem höheren Management vor Augen geführt werden. Dann werden Sicherheitsempfehlungen und Richtlinien konsequenter eingehalten.

2. Persönliches Risiko

Jedem Mitarbeiter sollte bewusst sein, wie sehr eine Sicherheitsbedrohung das Unternehmen gefährden kann. Dennoch gibt es immer wieder Kollegen, die diesen Themen keine große Bedeutung beimessen.

Es ist deshalb entscheidend, auf die Auswirkungen hinzuweisen, die eine Sicherheitsverletzung auf persönlicher Ebene haben kann. Neben Unternehmensdaten verwalten Arbeitgeber auch sehr viele personenbezogene Daten zu den Arbeitnehmern und deren Familien, zum Beispiel Sozialversicherungsnummern, Adressen, Telefonnummern und Familiennamen. Und die sind genauso angriffsanfällig wie Unternehmensdaten. Allein schon deshalb sollte die Einhaltung von Cybersicherheitsstandards im Interesse jedes Einzelnen liegen.

3. IT-Teams, die gut kommunizieren und zusammenarbeiten können

Sicherheitspläne und Sicherheitsprozesse werden nur dann wirklich angenommen, wenn sie für alle im Unternehmen nachvollziehbar und umsetzbar sind. Das erfordert eine gute Zusammenarbeit zwischen Ihren IT-Teams und anderen Abteilungen. Es lohnt sich deshalb, in Kommunikationstrainings zu investieren und gemeinsam mit Kommunikationsfachleuten unternehmensweit das Bewusstsein für Sicherheitsinitiativen zu schärfen. Am Ende soll die Belegschaft Sicherheitsverfahren und -prozesse einheitlich handhaben. Kollaborative Arbeitsmanagement-Software kann hier wertvolle Hilfe leisten.

Ein Tool wie Wrike fungiert als einzig geltende Instanz und somit als zentrale Anlaufstelle für wichtige Dokumentation und lässt sich automatisch aktualisieren. Kollaborative Arbeitsmanagement-Tools haben darüber hinaus den Vorteil, dass sie ungehinderte Zusammenarbeit ermöglichen und gleichzeitig sensible Informationen schützen

Motivierte Mitarbeiter sind der wirksamste Schutzmechanismus

Damit Daten vor Cyberangriffen geschützt werden können, müssen drei Faktoren stimmen: Technologie, Prozesse, Menschen. Darauf muss die Arbeit von IT-Führungskräften ausgerichtet sein. Die Anforderungen sind komplex und im ständigen Wandel. Die IT-Verantwortlichen müssen die Netzwerke deshalb nicht nur vor den täglich neu hinzukommenden Sicherheitsbedrohungen schützen, sondern gleichzeitig Innovation und den ungehinderten Austausch von Daten zwischen den Teams ermöglichen.

Die Aufgabe von IT-Führungskräften ist, ihr Unternehmen vor internen und externen Bedrohungen zu schützen, Sicherheitsinitiativen voranzutreiben und Risiken zu reduzieren. Die gezielte Einbindung der Mitarbeiter ist in Hinblick darauf eine der besten Investitionen.

Kommentare 0

Ups! Dieser Inhalt kann nur angezeigt werden, wenn Sie der Nutzung von Cookies zustimmen.

Erfahren Sie mehr