Unsere Wirtschaft ist abhängig vom Funktionieren empfindlicher Informationstechnologien und Kommunikationssysteme. Mit steigender Komplexität dieser Systeme und der voranschreitenden Vernetzung, werden die Risiken von Störungen und Cyberangriffen größer. Um gegen diese Herausforderungen gewappnet zu sein, müssen Unternehmen aktiv in Informationssicherheitsmaßnahmen investieren. Dazu zählt die auch die Schulung der Mitarbeitenden, damit sie Warnmeldungen verstehen und Richtlinien sicher anwenden können. Informationssicherheit braucht wachsame Anwender, die niemals sicherheitsmüde werden. Darüber hinaus bieten weitere Maßnahmen einen guten Schutz gegen Security Fatigue. Erfahren Sie in diesem Artikel, welche das sind.
In den letzten Jahren bescherten Hardware-Sicherheitslücken und Angriffe mit Ransomware der deutschen Wirtschaft Schäden in Millionenhöhe. Besonders problematisch ist die hohe Dynamik bei der Weiterentwicklung von Schadprogrammen und Angriffswegen. Laut dem Lagebericht der IT-Sicherheit 2020 des Bundesamtes für Sicherheit in der Informationstechnik (BSI) hat die Zahl der bekannten Schadprogramme die Marke von einer Milliarde gesprengt. Monatlich kommen zwischen 800.000 und 1,3 Millionen neue Schadprogramm oder weiterentwickelte Malware hinzu. Obwohl seit Jahren bekannt ist, wie gefährlich die Folgen sein können, wenn Systeme oder Mitarbeitende Opfer von Cyberangriffen werden, sind viele Unternehmen nicht ausreichend abgesichert. Das zeigen die stetig wiederkehrenden Attacken mit Ransomware auf Unternehmen. Hacker sperren komplette Unternehmensnetzwerke, um anschließend Geld im Austausch für den Entschlüsselungscode für die eigenen Daten zu erpressen. Die Angriffe sind meist mit der Drohung verbunden, Daten zu vernichten oder der Öffentlichkeit preiszugeben. Cyberkriminelle sind Experten darin, Schwachstellen auszunutzen und die psychologischen Faktoren der Anwender zu instrumentalisieren. In der Folge entstehen durch einen vermeintlich kleinen Fehler schnell Schäden in Millionenhöhe.
Arbeitnehmer sind zu müde, um sich für Sicherheit zu begeistern
Laut einer Studie von Aruba Networks, einer Tochterfirma von Hewlett Packard, haben europäische Arbeitnehmer weltweit die wenigste Disziplin, wenn es um Cybersicherheit geht. Knapp 20 Prozent denken überhaupt nicht an IT-Sicherheit und rund 36 Prozent sehen Sicherheitsbedrohungen nicht als ihr Problem an. Eine solche Haltung ist auf Sicherheitsmüdigkeit zurückführen, die durch einen Überfluss an neuen Vorschriften, unzähligen Warnmeldungen und häufigen Passwortwechsel bei gleichzeitig geringer technischer Unterstützung ausgelöst wird. Unternehmen und Medien bombardieren die Leute mit Sicherheitsmeldungen und diese nehmen die Warnungen und Hinweise final nicht mehr in der gewünschten Wirkung wahr. Viele Mitarbeitende überfordert das Sicherheitswirrwarr und sie resignieren am Ende bei diesem Thema. Die Sicherheitsmüdigkeit – auch Security Fatigue genannt – spiegelt ein bekanntes Phänomen in der Psychologie wider, das als Entscheidungsmüdigkeit bekannt ist. So sind sich die Mitarbeitenden zwar der Sicherheitsrisiken und ihrer Folgen bewusst, aber sie versuchen damit verbundene Entscheidungen zu vermeiden oder auf altbewährte Gewohnheiten zurückzugreifen. Entscheidungen werden dann impulsmäßig und mit mangelnder Vorsicht getroffen. Beispielsweise greifen viele Anwender beim Schutz von sensiblen Unternehmensdaten auf leicht zu merkende Kennwörter wie „1234“ oder dem eigene Geburtsdatum zurück. Solche Daten sind für Hacker leicht zu ermitteln. Oder es werden wie im Fall Emotet gefährliche Anhänge geöffnet – ungeachtet von Warnmeldungen und den gravierenden Konsequenzen. Infolgedessen wird der Mensch zu einer der größten Schwachstellen für die Informationssicherheit. Laut dem Annual Report von Cisco 2018 leiden 40 Prozent aller deutschen Unternehmen unter Cybermüdigkeit. Höchste Zeit also, um die richtigen Maßnahmen zu realisieren und dem Phänomen entgegenzuwirken.
5 praxiserprobte Maßnahmen gegen Security Fatigue (mit Checkliste zum Download)
Um die Sicherheitsmüdigkeit zu vertreiben, bietet sich Security Awareness an. Sinnvolle Maßnahmen für die Beschäftigten belohnen das korrekte Verhalten als einfach zu befolgenden Standardprozess und machen Sicherheitsverstöße anstrengend. Wir setzen bei Adacor auf die Kombination von Mitarbeitenden-Awareness und der Realisierung technischer Maßnahmen. Daraus resultiert ein hohes Sicherheitsniveau mit fest etablierten Prozessen für die Sicherheitsbewertung, das Schwachstellenmanagement sowie die Erkennung von Sicherheitsvorfällen. Eine funktionierende Unternehmenssicherheit braucht die richtigen Techniken und Vorschriften. Security Awareness haben außerdem in der Unternehmenskultur verankert. Eine Kultur, in der Sicherheit wertgeschätzt und geachtet wird, motiviert. Mit den richtigen Maßnahmen sensibilisieren wir unsere Kolleginnen und Kollegen regelmäßig für die Informationssicherheit und gehen somit nachhaltig gegen Security Fatigue vor.
5 Maßnahmen, um Sicherheitsmüdigkeit aus dem Unternehmen zu verbannen.
Klicken Sie auf den Link und laden Sie unsere 5 praxiserprobten Maßnahmen gegen Security Fatigue in Kurzform herunter oder drucken Sie sich das PDF aus.
- Schulungen: IT-Sicherheit braucht wachsame Anwender
Regelmäßige Schulungen zur Informationssicherheit informieren über Gefährdungen und dazugehörige Schutzmaßnahmen. Die Beschäftigten erhalten ein Verständnis für die Informationssicherheit und die Vorschriften und Maßnahmen. Bei Adacor nehmen alle neue Mitarbeitenden an einer Grundschulung teil. Für alle anderen findet einmal pro Jahr eine Schulung zu den Themen Informationssicherheit und Compliance zur Auffrischung statt. Um ein Zuviel an Informationen zu vermeiden, führen wir neben bereichsübergreifenden Schulungen bei Bedarf individuelle Lehrgänge für einzelne Teams durch. So werden alle Mitarbeitenden gleichermaßen in das Thema einbezogen und jeder weiß, wie wichtig seine Rolle als wachsamer Anwender im Gesamtgefüge der Informationssicherheit ist. Während der Corona-Krise, in der die meisten Beschäftigten Zuhause arbeiten, finden die Schulungen per Video statt. - Grafische Elemente: Was gesehen wird, prägt sich ein
In unseren Büros hängen Plakate und auf den Schreibtischen liegen Unterlagen, welche die Mitarbeitenden an relevante Sicherheitshinweise erinnern. Neben wichtigen Hinweisen und Leitlinien sind verschiedene Tipps zum Umgang mit Viren und Schadsoftware abgebildet. Die grafische Darstellung hilft, sich die Informationen besser einzuprägen. Sämtliche Sicherheitsrichtlinien, Prozessbeschreibungen und Checklisten dokumentieren wir im Intranet. Bei Adacor leben wir Hilfe zur Selbsthilfe, um Unsicherheit zu reduzieren. Um up to date zu bleiben, führen wir regelmäßig Reviews sowie Anpassungen an den Prozessen und Richtlinien durch. Kurz nachdem die meisten Mitarbeitenden durch die Covid-19-Krise ins Homeoffice gezogen sind, haben wir die Informationen grafisch neu aufbereitet und den Kolleginnen und Kollegen nach Hause geschickt. Die IT-Sicherheit ist immer präsent. - Interaktiver Dialog: das optimale Verhältnis von Kontrolle und Vertrauen
Mit interaktiven Onlinetests und Unterweisungen, deren Lesen bestätigt werden muss, stellen wir sicher, dass alle Mitarbeitenden die aktuellen Richtlinien sowie mögliche Neuerungen kennen. Zusätzlich gibt es regelmäßig ein Quiz oder eine Checkliste, um das eigene Wissen zu überprüfen. Damit vertiefen wir die Inhalte der Richtlinien auf spielerische Art und Weise. Wer das Quiz besteht, erhält ein digitales Zertifikat und kann überprüfen bei welchen Fragen das richtige oder das falsche Kreuz gesetzt wurde. Bei uns sind alle Mitarbeitenden für das Thema sensibilisiert, handeln eigenverantwortlich und setzen sich freiwillig mit der Informationssicherheit amArbeitsplatz auseinander. - Sicherheits-News: Informationssicherheit bietet persönliche Vorteile
Unsere Abteilung Information Security Management & Compliance (ISM) informiert alle Beschäftigten regelmäßig per Newsletter über die aktuelle Sicherheitslage, Gefährdungen und deren Gegenmaßnahmen. Neben Neuigkeiten aus dem Team und Meldungen aus den Bereichen Informationssicherheit und Compliance behandeln wir Themen, die den privaten Alltag betreffen – von Nachrichten zur Emotet-Malware über neue Sicherheitslücken bis hin zu Tipps zum Schutz vor Hackerangriffen. Damit fördern wir das Interesse und eine positive Grundeinstellung an der Informationssicherheit. - Positive Fehlerkultur: Fehler sind „gut“, wir lernen daraus
Jeder Mitarbeitende aus dem Informationssicherheitsteam steht den Kolleginnen und Kollegen bei Fragen oder Problemen jederzeit als Ansprechpartner zur Seite. Bei Adacor leben wir ein offenes und vertrauensvolles Krisenmanagement nach dem Motto: „Fehler sind gut, denn wir lernen daraus.“ Dieser Leitspruch nimmt die Hemmung vor Feedback. Deshalb wird ein Fehlverhalten bei Sicherheitsrisiken oder Gefährdungen bei uns in der Regel offen zugegeben.
Was macht Emotet so gefährlich?
Bei einer Emotet-Infektion erhalten die Betroffenen gefälschte E-Mails, die aussehen, als wären sie von Freunden, Geschäftspartnern oder dem eigenen Chef. Die Mails sind gut gemacht und wirken aufgrund der legitimen Absenderadressen und des fehlerfreien Deutschs glaubhaft. Emotet arbeitet mit Office-Dokumenten, meistens sind es Rechnungen im .doc-Format von Microsoft Word. Die Infektion erfolgt nicht beim Öffnen des Dokuments, sondern erfordert das Ausführen von Makros, deren Aktivierung der Anwender gestatten muss. Dadurch wird die Schadsoftware aus dem Internet nachgeladen. Sie führt zu Datenabflüssen oder ermöglicht den Kriminellen die vollständige Systemkontrolle.
Warum kommt es zu so vielen Infektionen, obwohl sich die Anwender der Gefahr inzwischen bewusst sein müssten? „Teilweise investieren Verantwortliche aus Kostengründen nicht genügend Geld in Cybersecurity, in anderen Fällen ist es schlicht Unwissenheit“, sagt etwa Thomas Janovsky, Generalstaatsanwalt und Leiter der Zentralstelle für Cybercrime in Bayern. Für den Aufbau einer funktionierenden Verteidigung gegen Cyberangriffe darf man sich nicht nur auf technische Lösungen konzentrieren, sondern muss ebenfalls die psychologische Komponente des Sicherheitssystems beachten. Denn die Anwender sind ein integraler Bestandteil von Sicherheitssystemen. Für viele Unternehmen ist es zu einer riesigen Herausforderung geworden, die Beschäftigten im Betriebsalltag erfolgreich für Informationssicherheit zu sensibilisieren – mit fatalen Folgen. Sicherheitsmüdigkeit stellt inzwischen eine größere Bedrohung dar als Viren, Angriffe oder andere Sicherheitsvorfälle.
Fazit: mit den richtigen Maßnahmen Sicherheitsmüdigkeit vermeiden
Unternehmen sollten sich bewusst sein, dass sie einen Angriff nicht verhindern, sondern sich nur schützen und das Risiko minimieren können. Regelmäßig über Informationssicherheit zu informieren, sollte ein absolutes Muss sein. Wichtig ist die richtige Balance. Das heißt, die Beschäftigten müssen sensibilisiert werden, ohne sie zu überfordern. Hilfreich ist die Schaffung guter Cybersecurity-Gewohnheiten, indem das Thema Informationssicherheit sinnvoll in die täglichen Prozesse integriert wird. Wir können aus eigener Erfahrung sagen, dass das ist eine gute Investition in eine sichere Zukunft ist.