IT-Sicherheit und interne Angriffe auf das eigene Unternehmen und dessen IT

Wie sage ich es als Geschäftsführung meinen Mitarbeiterinnen und Mitarbeitern: Aufpassen, immer aufpassen! So möchte ich die Quintessenz der interessanten und informativen Vortrags- und Diskussionsveranstaltung zum äußerst umfassenden Thema Menschliches Versagen und Insider-Angriffe formulieren, die die Community of Practice for Citizen Development des PMI Germany Chapters in Kooperation mit dem (ISC)2 Germany Chapter und der Local Group Innsbruck des PMI Austria Chapters am 23. März online durchführte. Dieses Meeting ist Teil einer vielversprechenden Veranstaltungsreihe zum übergeordneten Thema Cloud Security (weitere Termine unten).

Vortrag „Menschliches Versagen“

Tatsächlich ging es in diesem Vortrag von Frau Jutta Edith Zilian, PMP, CISA, CISM, CGEIT, CAPM vom PMI Austria Chapter um das weite Thema „Menschliches Versagen“ – nicht nur, aber ganz besonders bezogen auf IT-Sicherheit. Aspekte wie Schusseligkeit, Vergesslichkeit oder Demenz wurden im Vortrag ebenso behandelt wie die Sieben Todsünden und – das hat mich dann doch in der Diskussion etwas überrascht – gute und schlechte Kombinationen bestimmter Todsünden. Man lernt ja gern immer etwas dazu.

Erhellend war auch die von Frau Zilian so dargestellte

„größte Gefahr im Bereich Innentäterschaft, die von Angestellten ausgeht, die zum Sicherheitsrisiko werden, weil sie unwissend bzw. unvorsichtig sind. So kann ein loyaler Angestellter beispielsweise in wenigen Sekunden zur Gefahr für das Unternehmen werden, weil er einen Link in einer E-Mail öffnet, der sich als Phishing–Link herausstellt“. Aufpassen, immer aufpassen!“

Frau Zilian auf den Folien zu Ihrem Vortrag

Fehlendes Wissen erkennen und Einstellung korrigieren

Diese Mitarbeiter werden, so Frau Zilian auf den Folien zu Ihrem Vortrag, durch ihr fehlendes Wissen über digitale Bedrohungen und den richtigen Umgang mit Daten zur Gefahr für das Unternehmen: „Entsprechend bilden Schulungen eine der effektivsten Maßnahmen, um das Risiko für derartige Vorfälle zu reduzieren.“ Schulungen, so ergab das Gespräch der teilnehmenden Projektmanagement-Experten, können auf unterschiedliche Weisen erfolgen.

Online-Abfragen mit Punktevergabe und anschließender Bewertung sind sicherlich weit verbreitet, Bildschirmschoner mit Animationen zur IT-Sicherheit (noch) sehr selten, aber effektiv. Schulungsfilme helfen, kritische Situationen kennenzulernen und das eigene Verhalten besser einordnen und im besten Fall richtig einstellen zu können. Ebenso sind – vom eigenen Unternehmen selbst vorgetäuschte – Phishing E-Mails eine Möglichkeit, die Aufmerksamkeit der Mitarbeitenden zu testen. Ob es eine gute Maßnahme ist, diejenigen auf einem (virtuellen) Schwarzen Brett mit Namen zu veröffentlichen, die „reingefallen“ sind, die also auf den (zum Glück unschädlichen) Phishing-Link gedrückt haben, also im Ernstfall das Unternehmen in Gefahr gebracht hätten, war strittig. (Ich persönlich finde, jemanden an den Pranger zu stellen, ist kein guter Stil und keine erfolgversprechende Maßnahme, um Mitarbeiter zu mehr Aufmerksamkeit und kritischem Hinterfragen und Handeln zu erziehen.)

Unvorsichtige Insider

In diesen Zusammenhang der „unvorsichtigen Insider, die ohne Absicht oder kriminellen Vorsatz handeln“ (Zilian) fallen auch alle Aktivitäten des Social Engineering. Menschen, deren Vertrauen gewonnen und missbraucht werden kann und die dann an Dritte interne oder gar geheime Unternehmensinformationen im wahren Sinn des Wortes weitergeben.

Selbstredend wurden auch technische Einrichtungen zum Schutz der IT und des Unternehmens im Vortrag und in der Diskussion angesprochen. Hier ist je nach Größe, Art und Gefährdung des Unternehmens zusammen mit der IT-Abteilung und ggf. Sicherheitsexperten das richtige Verfahren auszuwählen. Jedoch war allen auf der Veranstaltung klar: IT-Sicherheit muss stets neben einem bestmöglichen technischen Schutz immer auch menschliche Schwächen mitreflektieren. Aus dem Zusammenspiel geeigneter technischer Maßnahmen, dem geschulten Risiko-Bewusstsein und der Eigenverantwortung aller Unternehmensangehörigen kann ein nachhaltiger, wenn auch nicht hundertprozentiger Schutz der Querschnittsfunktion IT entstehen.

Weitere Veranstaltungstermine der interessanten Reihe sind:

  • „Internet der Dinge “ (IoT) und Cloud-Sicherheit am 25.5.2023
  • Cybersicherheit von mobilen Arbeitsplätzen am 20.7.2023
  • Angriffe auf kritische Infrastruktur am 14.9.2023
  • Aufbau einer sicherheitsbewussten Kultur am 30.11.2023

Ich bin dabei

Ihr

Peter Fey