Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Setzen Sie auf die menschliche Firewall
Der Mensch baut sie auf – oder macht Löcher in sie hinein. Letztlich entscheidet der Nutzer durch sein Verhalten, wie gut Technik vor Cyberbedrohungen schützen kann.
Vor kurzem besuchte ich eine IT-Securitymesse. Durch den NSA-Abhörskandal stand bei Vorträgen und Produktinformationen natürlich ein Thema besonders im Fokus. Wie kann ich mein Unternehmen am besten vor Cyberbedrohungen schützen? Diese Frage wurde dann allerdings ziemlich kontrovers diskutiert. Am besten, Sie bilden sich selbst eine Meinung.
Auf der einen Seite befanden sich die technologieverliebten Sicherheitsfreaks, die es für unmöglich halten, dass ein Normalsterblicher jemals die Sicherheitstechnologie und die Bedrohungen die in der Cyberwelt lauern versteht. Aus diesem Grund plädieren sie hin zu einer technologischen Sicherheitsausstattung die es in sich hat und die, wenn sie so konsequent eingesetzt wird, letztlich auch innerhalb des Unternehmens fast bis zur Bewegungsunfähigkeit der Anwender führen würde.
Die Anhänger dieser Richtung sind der Ansicht, dass der Cyberwar nur über eine Materialschlacht gewonnen werden kann.
Auf der anderen Seite finden sich die Befürworter einer ganzheitlichen Sicherheitsbetrachtung. Die Anhänger dieser Glaubensrichtung sind der Ansicht, dass in unserer immer komplexer werdenden Umwelt die größte Bedrohung der Infrastruktur des Unternehmens nicht technischer Natur ist. Vielmehr sind die massivsten Bedrohungen sehr menschlicher Natur und resultieren aus menschlichen Verhaltensweisen. Man kann die Risiken ein Stück weit begrenzen, wenn man sie den Anwendern bewusst macht und ihnen Tipps gibt, damit umzugehen.
Leider gibt es keine Pauschallösung, denn die Risiken Ihres Unternehmens sind so individuell, wie ihr Unternehmen selbst. Allerdings gibt es ein paar Bausteine, die jedes Programm zur Erhöhung des Sicherheitsbewusstseins enthalten sollte.
Entwickeln sie eine IT-Sicherheitsrichtlinie die die Bedürfnisse und Gegebenheiten Ihres Unternehmens widerspiegelt und somit alle bekannten Risiken beinhaltet.
Folgende Fragen sollte man im Vorfeld beantworten:
- Welche Art von Informationen gibt es im Unternehmen?
- Wie werden diese Informationen aufbewahrt?
- Wer hat Zugang zu den Informationen?
- Wie werden die Daten geschützt?
- Wie werden Computer, Netzwerk, Internetzugänge und andere Ressourcen geschützt?
- Welche generellen/speziellen Sicherheitsvorkehrungen werden/wurden getroffen?
Im nächsten Schritt müssen die Anwender ins Boot geholt werden. Denn IT-Sicherheit geht jeden etwas an und ein einziger falscher Mausklick kann sämtliche Investitionen in IT-Sicherheitstechnogien zunichtemachen.
Security Awareness-Kampagnen
Ein mögliches Mittel das Sicherheitsbewusstsein der Anwender im Unternehmen zu schärfen sind sogenannte Security-Awareness-Kampagnen. Wie könnten die in der Praxis aussehen? Schulungen und Vorträge stellen sich oft als verhältnismäßig ermüdend und langweilig heraus. Im schlimmsten Fall behalten dann diejenigen Recht, die davon überzeugt sind, dass dem Normalverbraucher IT-Sicherheitsbewusstsein nicht nahezubringen ist.
Als sehr effektvoll hat sich hier die Methode erwiesen, Anwender an praktischen Beispielen lernen zu lassen. Und obwohl jedes Unternehmen anders ist, gibt es doch ein paar menschliche Schwächen, auf die man sich als potentieller Eindringling verlassen kann. Wenn man ein paar Maßnahmen lanciert, die gerade auf diese Schwächen eingehen, werden die Risiken erlebbar.
Eine nette Idee, seine Mitarbeiter für Sicherheit zu sensibilisieren hatte beispielsweise das US-Justizministerium.
Das US-Justizministerium hat im Januar 2009 Phishing-E-Mails an seine Angestellten verschickt, in denen diese aufgefordert wurden, auf einer Website persönliche Angaben zu ihrem Rentenkonto zu machen. Mit der E-Mail wollte das Ministerium das Sicherheitsbewusstsein der Angestellten testen.
Gerne angeklickt werden auch Mails mit Links zu niedlichen Katzenbildern oder spärlich bekleideten Damen. Für einen Angreifer eine schöne Möglichkeit Malware zu positionieren.
Eine gute Idee eine für eine Security Awarenesskampagne hatte auch Microsoft. In der Kampagne wurde ein Phantom auf Datenklau gejagt. Die Mitarbeiter wussten, dass Gefahr in Verzug ist, wussten aber nicht genau, wann und wie das Phantom zuschlagen würde. Wenn das Know how so spielerisch vermittelt wird, sind die Erfolgschancen recht hoch. Nachzulesen ist die ganze Aktion in diesem Whitepaper.
Fazit:
Ein gutes IT-Sicherheitskonzept berücksichtigt immer auch die Mitarbeiter des Unternehmens. Denn in einer immer komplexeren, dynamischen Umwelt ist der Cyberwar allein mit standardisierter Technik nicht zu gewinnen
Bild: © Stephanie Hofschlaeger / pixelio.de
Ein Kommentar zu Setzen Sie auf die menschliche Firewall
Schreiben Sie einen Kommentar
Über die Autorin:
Diplom-Kauffrau
Seit 1994 tätig bei DATEV eG. Im Bereich IT-Dienstleistungen und Security seit 2005 zuständig für übergreifende Kommunikation und Vermarktung technischer Produktlösungen. Verfasst in diesem Kontext regelmäßig Beiträge in der Kundenzeitschrift der DATEV und ist Co-Autorin des Leitfadens „Deutschland sicher im Netz”. Privat Mutter eines „Digital Natives” und „technische Beraterin” der Unternehmer im Bekanntenkreis.
Für DATEV sind Datenschutz und Datensicherheit seit Gründung des Unternehmens zentrale Elemente in der Geschäftspolitik. Daher engagiert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.
Die menschliche Firewall nennt man auch Kundenservice.