Gelebte Sicherheitskultur gegen die IT-Schwachstelle „Mensch“
Stellen Sie sich folgende Situation vor: Ein Mitarbeiter findet in der Teeküche einen USB-Stick mit der Aufschrift „Gehaltsliste“. Was wird er wahrscheinlich tun? Genau dieses Experiment haben IT-Sicherheitsberater in vielen Unternehmen durchgeführt. Das Ergebnis war erschreckend. Für die meisten Mitarbeiter ist die Aussicht, das Gehalt der Kollegen zu erfahren so verlockend, dass der USB-Stick unbekannter Herkunft ganz unbedarft eingesteckt wurde.
Dieses Beispiel zeigt deutlich, dass die Schwachstellen oft nicht in der Technik liegen, sondern bei den Menschen zu suchen sind. Ein IT-Sicherheitskonzept kann aber nur greifen, wenn sich alle Beteiligten konsequent daran halten. Um das Bewusstsein für IT-Risiken bei den Mitarbeitern zu schärfen, müssen sie regelmäßig in Sicherheitsthemen einbezogen und mit praxisnahen Beispielen (s.o.) konfrontiert werden.
Einmalige Schulungen bringen oft wenig. Die Vielzahl der Themen und möglichen Gefahrenpotenziale erfordern ein permanentes Auffrischen der Sicherheitsregeln. Dabei geht es um das Erkennen möglicher Bedrohungen und das richtige Verhalten, wenn man ein Mitarbeiter eine kritische Situation herbeigeführt hat.
Darstellung der Risiken so anschaulich wie möglich
So anschaulich wie möglich - zum Beispiel über ein Live-Hacking - sollten die Mitarbeiter sensibilisiert werden. Denn nur dann wird eine Veränderungsbereitschaft ausgelöst und der langfristige Aufbau einer Sicherheitskultur möglich. Im Arbeitsalltag sind nahezu alle Mitarbeiter potenziellen Angriffen ausgesetzt. Zu den Basics gehören der sichere Umgang mit E-Mails oder die Bedrohung durch Schadsoftware. Auch die Benutzung von mobilen Geräten im Unternehmensumfeld erfordert besondere Aufklärung. Dazu kommen Themen wie Datensicherheit oder Risiken beim Surfen im Internet sowie die Social Media Nutzung.
Schriftliche Regeln und feste Ansprechpartner
Hilfreich sind schriftliche IT-Sicherheitsregeln, die alle Mitarbeiter an ihren Arbeitsplätzen haben. Feste Ansprechpartner - im Idealfall mit „Schweigepflicht“ - unterstützen eine offene Kultur und helfen dabei, dass Vorfälle nicht aus Angst verschwiegen, sondern der IT-Abteilung gemeldet werden.
Die Sensibilisierung für IT-Sicherheit ist ein kontinuierlicher Prozess. Es bedarf immer wieder neuer Impulse, um IT-Vorfälle, die durch den „Faktor Mensch“ verursacht werden zu verringern. Halten Sie die Aufmerksamkeit hoch und bieten Sie nicht nur regelmäßig zum Beispiel Workshops, Flyer, Newsletter o.ä. an, sondern platzieren Sie das Thema auch mit kleinen Give-aways oder Postern direkt am Arbeitsplatz.