IT-SICHERHEIT: DER FAKTOR MENSCH

IT-Sicherheit: Der Faktor Mensch
#IT-Sicherheit #IT-Sicherheitskonzepte #IT-Sicherheitsexperte

Obwohl sie wissen, was sie tun: Dr. Timo Neumann, IT-Sicherheitsexperte bei der Bundesdruckerei, spricht im Interview über den Unsicherheitsfaktor Mensch – und was man dagegen tun kann.

In den vergangenen Jahren wurden deutsche Unternehmen vermehrt Opfer von Hackerangriffen –die Ransomware Wannacry ist nur ein bekanntes Beispiel von vielen. Grund für Lücken in der IT sind häufig die eigenen Mitarbeiter und ihr – wenn auch meist unbeabsichtigtes – Fehlverhalten. Dr. Timo Neumann, IT-Sicherheitsexperte bei der Bundesdruckerei, erklärt im Interview, wie es dazu kommt und warum Informatiker enger mit Psychologen zusammenarbeiten sollten.

Herr Dr. Neumann, welche Rolle spielt menschliches Verhalten, wenn es darum geht, IT-Infrastrukturen vor Missbrauch zu schützen?

Aus der Studie „IT-Sicherheit im Rahmen der Digitalisierung“, die wir gemeinsam mit dem Branchenverband BITKOM durchgeführt haben, wissen wir, dass 100 Prozent der befragten Unternehmen wichtige technische Werkzeuge wie Firewalls, Virenscanner etc. nutzen. Gleichzeitig sehen aber rund 50 Prozent aller Unternehmen Verbesserungspotenziale im organisatorischen Bereich. Sprich: beim Verhalten der eigenen Mitarbeiter. Denn aus der Perspektive der IT-Sicherheit stellt jeder Mitarbeiter zunächst einmal eine Schwachstelle im System dar. Und die menschliche Schwachstelle wird am häufigsten ausgenutzt.

Fehlt den Angestellten das Bewusstsein für das Thema IT-Sicherheit?

Ja und Nein. Aus der Studie wissen wir beispielsweise, dass sich 91 Prozent der befragten Mitarbeiter bewusst sind, dass man Passwörter nicht mehrfach verwenden soll. 82 Prozent der Befragten wissen auch, dass sie eine Kombination aus Buchstaben, Zahlen und Symbolen verwenden sollten. Der Großteil der Befragten tut das aber nicht. Es gibt hier ein deutliches Missverhältnis zwischen dem, was die Menschen wissen und dem, was sie umsetzen.

Passwörter sind ein Aspekt der IT-Sicherheit, über den momentan deutlich anders gesprochen wird als noch vor ein paar Jahren. Gilt die Maßgabe „Je länger und komplizierter ein Passwort, desto größer der erforderliche Rechenaufwand um es herauszubekommen, und desto sicherer das System“ noch?

Richtig ist, dass lange Zeit vor allem durch US-amerikanische Onlinedienste und Services die Regeln „mindestens acht Zeichen Passwortlänge, Buchstaben, Zahlen und Sonderzeichen“ kommuniziert wurden. Aber selbst wenn man dies berücksichtigt, macht man Hackern das Leben allerdings nicht schwerer. Man kann sich das eigene Passwort nur schlechter merken. Ob ein Passwort sicher ist, kommt auf den Kontext an. Wenn man auf einen Onlineservice zugreifen möchte, kann der entsprechende Betreiber deutlich besser Sicherheit gewährleisten als der einfache Nutzer. Der Betreiber kann leicht merken und es auch unterbinden, wenn Unbefugte millionenfach Passwörter ausprobieren und so Zugang zu Accounts suchen. Das wirkt besser als ein siebenundzwanzigstelliges Passwort des Nutzers. Wenn es um den Offline-Zugang zu Geräten und Services geht, etwa dem Passwort für den eigenen Computer, muss man Sicherheitsaspekte noch einmal völlig anders beurteilen. Hier kann es hilfreich sein, wichtige Daten in einer sicheren Cloud zu lagern.

Welche weiteren Unsicherheitsfaktoren neben Passwörtern gibt es im Bereich der IT-Sicherheit – vor allem im Hinblick auf die eigenen Mitarbeiter im Unternehmen?

Man sollte sich zunächst bewusst machen, dass es Menschen im eigenen Unternehmen gibt, die mit sensiblen Daten umgehen und Menschen, die mit weniger sensiblen Daten umgehen. Ein IT-Administrator weiß beispielsweise deutlich mehr über das eigene Firmennetzwerk und eventuelle Sicherheitslücken und hat auch Zugang zu deutlich mehr Daten als andere Mitarbeiter. Sie sollten sich als Unternehmer also Gedanken darüber machen, welche Nutzergruppen es in ihrem Firmennetzwerk gibt, zu welchen Informationen und Diensten diese Zugang haben sollten und zu welchen nicht. Entsprechend sollten Sie diese Zugänge auch beschränken. Wichtig ist auch das Thema Datendiebstahl über gefälschte E-Mails, das sogenannte Phishing. Sie sollten ihre Mitarbeiter regelmäßig sensibilisieren, auf Absender von E-Mails und die Art der Texte, Links, Downloads und Anhänge zu achten. Machen Sie sich auch Gedanken darüber, was mit dem Wissen und den Informationen geschieht, dass Mitarbeiter weiterhin besitzen, wenn sie das Unternehmen verlassen.

Glauben Sie, dass Unternehmen in Deutschland ausreichend für das Thema IT-Sicherheit sensibilisiert sind?

Aus der Studie „IT-Sicherheit im Rahmen der Digitalisierung“ wissen wir, dass 54 Prozent der befragten Unternehmen in den vergangenen 24 Monaten einen konkreten IT-Sicherheitsvorfall hatten. Die Sensibilität für dieses Thema ist also zwangsläufig vorhanden. Die Frage lautet aber – ähnlich wie beim einzelnen Mitarbeiter – ob entsprechend der Sicherheitsvorgaben gehandelt wird. Immerhin 60 Prozent der befragten Unternehmen gehen von steigenden Investitionen im Bereich der IT-Sicherheit in den nächsten Jahren aus. Persönlich finde ich es schade, dass viele Unternehmen IT-Sicherheit häufig immer noch eher als Hindernis und weniger als Chance für das eigene Unternehmen betrachten. IT-Sicherheit ist für mich eine notwendige Bedingung für die erfolgreiche Digitalisierung des eigenen Unternehmens.

Was können Unternehmen tun, um Mitarbeiter entsprechend zu sensibilisieren und für dieses Thema zu gewinnen?

Man muss den Menschen klarmachen, wie sehr private und berufliche Daten mittlerweile miteinander verknüpft sind. Dass ein Angriff auf beruflichen Daten auch ein Angriff auf die entsprechenden privaten Daten bedeuten kann. Beispielsweise öffnen deutlich mehr Menschen fragwürdige E-Mails am Firmenrechner als privat zu Hause, weil sie denken, dass es in der Firma eigens IT-Experten gibt und sie selbst keinen Beitrag zur IT-Sicherheit leisten müssen. Das ist nicht richtig. Man muss den eigenen Mitarbeitern klarmachen, dass jeder für die IT-Sicherheit mitverantwortlich ist. Etwa mit Workshops, in denen man ihnen zeigt, was bei einem Angriff passieren kann, was dann in der IT passiert und welche Auswirkungen ein Angriff auf die Arbeit der eigenen Kollegen hat. Das funktioniert ganz gut.

Inwieweit sind ein System und die Sicherheit eines Systems kontrollierbar?

Lücken wird es immer geben. IT-Sicherheit ist ein Bereich, der ständig in Bewegung ist. Jeden Tag erscheinen beispielsweise neue Softwareupdates, die eingespielt werden müssen. Man muss in eine gute Technik und auch in die Schulung der Mitarbeiter investieren und das erworbene Wissen ständig erneuern und aktuell halten. Unternehmern sollte aber auch klar sein, dass absolute Sicherheit nie geben wird.

Bei mehr als zehn Milliarden Euro Schäden pro Jahr, darf kein Unternehmen in Deutschland Investitionen im Bereich Cybersicherheit vernachlässigen. Gerade der Mittelstand ist laut Branchenexperten immer noch unzureichend geschützt.