Unser Blog

Sicherheitsrisiko “Mitarbeiter” vermindern

on 4. März 2020

Stellen Sie es sich vor: ein Mitarbeiter (oder Mitarbeiterin) öffnet den Anhang einer E-Mail (oder klickt auf einen darin enthaltenen Link oder ein Bild) und infiziert, nichts ahnend, das gesamte Unternehmensnetzwerk. Auf einmal sind die Datenlaufwerke für die Mitarbeiter nicht erreichbar oder zunehmend alle darin gespeicherten Dateien verschlüsselt.

Bedrohungsszenarien wie eben beschrieben, klingen nach Science-Fiction, sind aber inzwischen jederzeit möglich. Mit steigender Digitalisierung werden auch Angriffe dieser Art eher zunehmen (vgl. Emotet). Dass eine Infizierung vorliegt, ist für die Anwender nicht unmittelbar erkennbar. Denn oftmals versuchen die Angreifer zunächst das Netzwerk zu erforschen, um dann die passende Angriffsstrategie zu wählen.

Für den Schutz der Unternehmensassets müssen geeignete technische Maßnahmen eingesetzt werden. Die IT-Branche bietet eine große Anzahl von Produkten, angefangen bei Antivirus-Programmen bis zu Intrusion Detection Systemen mit KI-Unterstützung. Jedes dieser Produkte hat seinen Fokus und seine Berechtigung, sofern die Verhältnismäßigkeit der Kosten zum Nutzen stimmt.

Und trotzdem können die technischen Maßnahmen eine Infektion nicht verhindern, denn es gibt einen sehr wichtigen Faktor, der zwingend betrachtet werden muss: das Sicherheitsrisiko Mitarbeiter (oder Mitarbeiterin).

Es existieren viele Bedrohungen, die gezielt auf das menschliche Verhalten ausgerichtet sind (z.B. Bedrohung, Angst, Hilfsbereitschaft). Anwendingsbeispiele hierfür sind interessante oder harmlos erscheinende Bilder oder Links in einer E-Mail (Phishing), ein geschenkter USB-Stick, etc. Aber auch das sogenannte Social Engineering, in dem versucht wird (durchaus auch am Telefon) sensible Daten (z.B. Passwörter) zu erhalten.

Alle Mitarbeiter müssen im Hinblick auf die Bedrohungen durch Schulungen und Awareness-Maßnahmen sensibilisiert werden. Damit die Schutzmaßnahme auch wirkt, bedarf es einer Regelmäßigkeit. Denn nur durch wiederkehrende Ereignisse werden die Maßnahmen als Selbstverständnis wahrgenommen. Das gilt für große aber auch kleine Unternehmen.

Unterstützend sind insbesondere die folgenden Schutzmaßnahmen:

  • Regelmäßige Sensibilisierung der Mitarbeiter (unmittelbar nach Eintritt, danach jährlich)
  • Personalisierte starke Passwörter (siehe Beitrag)
  • 4-Augen-Prinzip für Sicherheitskonfigurationen
  • Richtlinien für Verträge und Abnahmeprotokolle
  • Dedizierte Rechte und nicht-priviligierte Nutzerkonten
  • Soviel Privilegien wie absolut nötig
  • Funktionstrennung (Admin und Anwender)
  • Personalisierte und verschlüsselte Wechseldatenträger
  • Backups und Notfallplanung
  • Regelmäßige Audits (mind. jährlich)
  • Zugang von Drittfirmen grundsätzlich deaktiviert, erst nach Freischaltung aktiv

Kontaktieren Sie mich gerne bei Fragen und Anregungen.

Tomasz Lawicki, Leiter Arbeitskreis "Stand der Technik"

Tomasz Lawicki

Mehr über Tomasz Lawicki

Tomasz LawickiSicherheitsrisiko “Mitarbeiter” vermindern