Schutzschild Mensch: Auf einen Blick
Der Mensch wird häufig als schwächstes, aber wichtiges Glied in der Reihe von Maßnahmen zur Erhöhung der IT-Sicherheit gesehen. Innerhalb von Unternehmen handeln Mitarbeitende als soziale Wesen, hantieren mit Daten und benutzen die verschiedensten IT-Geräte. Menschen folgen zwar gewissen Arbeitsprozessen, agieren aber oftmals in einem gewissen Handlungsspielraum. Dies macht sie für mögliche Angreifer attraktiv, da sie – wissend oder unwissend – als Ursprung einer ganzen Kette von Angriffsvektoren eingesetzt werden können: dem so genannten Social Engineering. Daten könnten so manipuliert, verloren oder gestohlen werden. Folglich ist es essentiell, einen „Schutzschild Mensch“ aufzubauen, der Angriffe erkennt, sich selbstständig schützt oder Handlungsanweisungen befolgt.
Potenziale für KMU
Mitarbeitende eines Unternehmens bieten, im Gegensatz zu automatisierten bzw. technisch unterstützten Systemen, den „logischen Menschenverstand“ und sind in der Lage, kreativ mit Problemen umzugehen oder Störungen schnell zu erkennen. Gleichwohl kann dieser Schutzschild bei fehlenden Prozessen, ungeregelten Informationsflüssen sowie unbekannten Gefährdungslagen fallen. Deshalb müssen in Unternehmen entsprechende Maßnahmen getroffen werden, um die Potenziale der Mitarbeitenden zu fördern. Hierzu gehört das Umsetzen von geeigneten Richtlinien zur IT-Sicherheit, die Unterstützung von technischen Maßnahmen, der Aufbau von Wissen bzw. Bewusstsein gegenüber Gefahren und die Einführung von Prozessen zur kontinuierlichen Verbesserung IT-gestützter Prozesse. Mit diesen Eckpfeilern ist es für KMU möglich, den Schutzschild Mensch innerhalb und außerhalb der Unternehmensgrenzen (z. B. im Homeoffice) aufrecht zu erhalten.
Anwendungsbereiche in KMU
Heutzutage findet nahezu in jedem Unternehmen eine Datenverarbeitung durch Mitarbeitende statt. Daher gilt der Schutzschild Mensch in fast allen denkbaren Unternehmensbereichen und sollte somit in jedem KMU Anwendung finden. Beispiele hierfür sind:
- der Umgang mit mobilen Endgeräten und Datenträgern – diese sollten nicht an Produktionsmaschinen angeschlossen werden,
- die Herausgabe von Informationen gegenüber Dritten – Auskünfte und Beauftragungen sollten immer verifiziert und authentifiziert werden oder auch
- das Verhalten im Homeoffice – Mitarbeitende sollten nur Geräte benutzen, die vom Arbeitergeber ausgegeben werden.
Zum Aufbau von Wissen sollten Mitarbeitende regelmäßig mit Informationen versorgt oder in Weiterbildungen geschult werden. Ebenso ist es wichtig, die Belegschaft für Themen der IT-Sicherheit zu sensibilisieren (z. B. Workshops oder Gamification) sowie das Wissen regelmäßig in den betroffenen Stellen zu prüfen.
Herausforderungen
Das grundlegende Verhalten von Mitarbeitenden wird durch ein Zusammenspiel aus Motivation, Wissen und Anlässen geprägt. Dabei entspringen Risiken für die IT-Sicherheit oft aus Unwissen. Der Mensch als soziales Wesen gibt auch unbewusst Informationen weiter. Dies abzustellen ist sehr schwierig und kann nie vollständig ausgeschlossen werden. Weiterhin ist es auch möglich, dass Mitarbeitende Gefährdungslagen nicht erkennen – weil auch hier Wissen fehlt. Zusätzlich spielt die Motivation der Mitarbeitenden eine Rolle, da häufig zu starre IT-Prozesse und Regeln die Mitarbeiter unnötig einschränken oder sie zu Nachlässigkeiten bzw. Fehlverhalten (z. B. durch Vermeidung oder Ausweichaktionen) animieren.
Daher sollten alle eingeführten Maßnahmen stets den Menschen im Mittelpunkt haben und das Wissen rund um IT-Sicherheit fördern, die Akzeptanz von Handlungsweisen verstetigen sowie die Verbesserung der Gefährdungsbeurteilung ermöglichen. Hieraus kann sich ein kontinuierlicher Verbesserungsprozess ableiten.
weiterführende Informationen
- https://www.mittelstand-digital.de/MD/Navigation/DE/Themen/IT-Sicherheit-Recht/it-sicherheit-recht.html
- https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/Social-Engineering/social-engineering_node.html
- https://www.bsi.bund.de/DE/Service-Navi/Presse/Alle-Meldungen-News/alle-meldungen-news_node.html
