Das Verständnis von Mitarbeitern für die Sicherheitsrisiken in der Unternehmens-IT wird immer wichtiger. Mehr Sensibilität und Bewusstseind sind hier dringend notwendig, um die Sicherheit verbessern zu können. Doch der “Faktor Mensch” ist ein Sicherheitsfaktor, der häufig unterschätzt wird.

Fehler, die von Menschen verursacht werden, lösen laut Jon Ramsey von Dell über die Hälfte aller Sicherheitsprobleme in der IT aus. Geübte und geschulte Mitarbeiter sind laut Ramsey das beste Mittel gegen kriminelle Hacker. “Es ist an der Zeit, dass Menschen mehr Verantwortung für die Sicherheit von Informationen übernehmen, mit denen sie jeden Tag arbeiten” fordert er. Die Zahlen geben ihm Recht: In Unternehmen, deren Mitarbeiter ein Awareness-Programm absolviert haben, kommt es nur zu halb so vielen Sicherheitsvorfällen durch Mitarbeiter wie in anderen Organisationen. Auch wenn sich diese Risiken nicht komplett eleminieren lassen, sind nur wenige Maßnahmen ähnlich effektiv wie ein IT-Sicherheitstraining für Mitarbeiter.

Ähnliche Ansichten vertritt auch die PSW-Group. Sie kritisiert, dass im Rahmen von IT-Sicherheit vorrangig die Technik betrachtet wird, so wie Firewalls, Virenschutzsysteme und verschlüsselte Kommunikationswege. Die Mitarbeiter, welche die IT-System bedienen, müssen ebenfalls sensibilisiert werden, fordert PSW. Jeder technische Schutz habe ohne Mitarbeiterkompetenz nur wenig Wert. Durch die Sensibilisierung der Mitarbeiter müssen Betroffene zu Beteiligten werden.

Ein gutes Beispiel für eine gelungene Sensibilisierungs-Kampagne ist laut PSW Microsoft Deutschland. Hier startete kürzlich eine Undercover-Security Awareness-Kampagne unter dem Titel "Microsoft jagt das Phantom". Das Fazit: Die Informationssicherheit bei Microsoft wurde messbar verbessert. Läuft diese Sensibilisierung kontinuierlich weiter, ist ihr der Erfolg sicher, so PSW.

Drei Schritte führen zu einer stärkeren Sensibilisierung:

  1. Eine Ist-Analyse, die das aktuelle Niveau und Datenschutzbewusstsein der Mitarbeiter festhält. Dabei sollte jeder Mitarbeiter einbezogen werden und auf sein Sicherheitsbewusstsein geprüft werden.
  2. Den Willen wecken – Informationssicherheit und Datenschutz greifen häufig tief in den Arbeitsalltag ein. Wird jeder Mitarbeiter dabei integriert, fördert dies die Sicht auf Risiken und etwaige Bedrohungen. “Jeder Mitarbeiter kann zum Sicherheitsrisiko oder zur Sicherheitschance werden”, betont PSW.
  3. Für Nachhaltigkeit sorgen – Sicherheit und Datenschutz müssen sich den Bedingungen des Unternehmens laufend anpassen. Sicherheit ist ein Prozess. Nachhaltige Sicherheitskonzepte müssen für Mitarbeiter sichtbar, nachvollziehbar und Bestandteil ihres Arbeitsalltags werden. Es geht nicht darum, lästige Vorschriften einzuhalten oder den persönlichen Handlungsspielraum einzuschränken, sondern um Sicherheit in der Praxis anwenden zu können.

Unternehmen sollten für Sicherheitsfragen einen oder mehrere feste Ansprechpartner benennen. Kam es bereits zu Sicherheitsrisiken oder -problemen, sollten diese möglichst konkret benannt werden. Nur so werden abstrakte Sicherheits-Bedrohungsszenarien konkret greifbar, betont PSW.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.