Nadin Ebel, IT-Projektleiterin bei der Materna Information & Communications GmbH, referiert bei den Internet Security Days über den „Faktor Mensch“. Im Kurzinterview erläutert sie, warum menschliches Verhalten oft Risikoträger und Schadensverursacher Nummer 1 ist.
Frau Ebel, wieso ist gerade der „Faktor Mensch“ so wichtig für die IT-Sicherheit?
Im Zeitalter der Digitalisierung und Industrie 4.0 vernetzen und verschmelzen Business und IT immer mehr. Damit wächst die Abhängigkeit von sicheren IT-Systemen. Neben den technischen Angriffszielen fokussieren zahlreiche Angriffsszenarien wie Pishing, Social Engineering, mit Malware verseuchte Mails oder Frauds auf Endanwender und IT-Mitarbeiter. Gefahren von innen sind das größte Risiko für die IT-Sicherheit, menschliches Verhalten ist Risikoträger und Schadensverursacher Nummer 1.
Passwort-Management, Vorträge oder altbewährte Schulungsformate sind bekannte Mittel, wenn die Awareness in Sachen IT-Sicherheit erhöht werden soll. Doch Manipulationen, Neugier und Bequemlichkeit sorgen dafür, dass Anwender und Mitarbeiter IT-Sicherheit nicht in der Praxis leben. So sind laut einer aktuellen Studie von VMware 56 Prozent der IT-Entscheider in Deutschland der Ansicht, dass Mitarbeiter über wenig Bewusstsein und kaum Kenntnisse im Bereich IT-Sicherheit verfügen.
Dabei betrifft der Aspekt des „Risikofaktors Mensch“ nicht nur den Endanwender. Auch Menschen, die die Lösungen entwickeln und betreiben, müssen sensibilisiert werden. Mitarbeiter in unterschiedlichen Organisationseinheiten und in verschiedenen Funktionen sind heute auf allen Ebenen der Wertschöpfungskette mit den Sicherheitsmechanismen überfordert, die sie erfüllen sollen.
Daher ist es nicht verwunderlich, dass der Mensch bei vielen Angriffen der letzten Jahre als schwächstes Glied in der Kette an der Entstehung der betreffenden Sicherheitslücken beteiligt war – und auch heute noch ist. Die beste Sicherheitsstrategie eines Unternehmens nützt daher wenig, wenn der Faktor Mensch außer Acht gelassen wird.
Inwiefern kann das Konzept “Lernen durch Erleben“ die IT-Sicherheit erhöhen?
Es gibt verschiedene Möglichkeiten, das Bewusstsein für die IT-Sicherheit zu gestalten und zu schaffen. Die Bandbreite der Methoden und Tools ist groß. Verpflichtende Informationssicherheitsschulungen sind eine Option. Solche Trainings müssen regelmäßig wiederholt werden, um eine solide Basis für den Wissensaufbau und das Verständnis für die Informationssicherheit herzustellen.
Viele Experten hinterfragen allerdings die Wirksamkeit klassischer Schulungsmaßnahmen. Schulungsformate, in denen die Mitarbeiter nur in einer passiven Rolle verbleiben. Interaktive Formate haben einen stärkeren Einfluss auf das Sicherheitsbewusstsein der Menschen, ihr Verständnis für IT-Sicherheit und ihr Wissen, aber auch das zukünftige Verhalten, als dies klassische Formate vermitteln können.
Auch ernsthafte Themen können spielerisch erlernt werden, zum Beispiel mithilfe von Planspielen oder „Match Plays“. Hier hat die sog. Gamification durch die Anwendung spieltypischer Elemente in einem spielfremden Kontext Einzug gehalten.
Klassische Kommunikationskonzepte und bekannte Schulungsmaßnahmen erfahren so eine nachhaltige Ergänzung für die IT-Security-Awareness.
Wie können Unternehmen das Sicherheitsrisiko durch Mitarbeiter verringern?
Angesichts immer neuer Bedrohungen bspw. durch Phishing-Angriffe, Social Engineering etc. verlieren klassische Abwehrmaßnahmen zunehmend an Wirksamkeit.
Intelligente Schulungs- und Awareness-Maßnahmen kombinieren daher unterschiedliche Methoden, Tools, Medien und Kanälen für die verschiedenen Mitarbeitergruppen zielgruppengerecht. Die Nutzung sowohl bewährter als auch innovativer Maßnahmen (statisch, explorativ, spielerisch etc.) hilft dabei, IT-Sicherheit positiv zu besetzen. Dies muss ein permanenter Prozess sein.
Einzelmaßnahmen sorgen dabei nur für einen oberflächlichen Schutz. Empfehlenswert sind unterschiedliche und aufeinander abgestimmte Methoden und Medien. Diese sind Teil des sogenannten Informationsmanagementsystems. Dabei werden Unternehmens- und Sicherheitsziele aufeinander abgestimmt.
Zu einer erfolgreichen Unternehmenssicherheit zählen daher auch Anwender, die mit gesundem Menschenverstand und fundierten Kenntnissen und Fertigkeiten, Bedrohungen erkennen und abwehren können. Unternehmen, die dies erkennen und beherzigen, haben bereits einen wichtigen Schritt vollzogen.
