Allheilmittel Technik? Risikofaktor Mensch? 4 Überlegungen zum Dilemma Sicherheit versus Usability

by Fernando Ducoing

“Der Mitarbeiter ist Angriffsziel Nummer 1”

Ein geflügeltes Wort unter Systemadministratoren lautet: Das Problem ist immer VOR dem Bildschirm. Gerne wird vom DAU erzählt, dem Dümmsten Anzunehmenden User. Kein Wunder, dass der computeranwendende Mitarbeiter ein beliebtes Einfallstor für die Vertreter der Dunklen Seite darstellt. Ob Ransomware, Phishing oder Social Engineering, die Angriffsmethoden sind vielfältig und tückisch.

Jedes Unternehmen kann technisch noch so gut abgesichert sein, sofern der Risikofaktor Mensch nicht geschult und abgeholt wird, ist immer eine gravierende Sicherheitslücke vorhanden.

Gottfried Tonweber
EY

Gottfried Tonweber
Birgit Unger - Mediaprint

Birgit Unger
Mediaprint

Das Handeln der Menschen in den Unternehmen ist unvorhersehbar und daher mit einem grossen Risiko verbunden, das die Technologie nicht vollständig entschärfen kann.

In vielen Organisationen gibt es die Herausforderung, dass bei immer weniger Ressourcen immer mehr Leistung gefordert wird. Bewusst in Kauf genommene Verletzungen von Regeln sind hier unausweichlich. Eine steigende Risikobereitschaft ist ersichtlich und kann fatal enden.

Wolfgang Mayer
HOERBIGER

Wolfgang Mayer
CIO2020 Nominee Rolf Herzog

Rolf Herzog
CT Cinetrade

Ein grosses Risiko ist das Social Engineering und somit beim Mitarbeiter. Hier ist es wichtig, immer wieder die Awareness zu schärfen und zum Thema innerhalb der Firma zu machen. Die Mitarbeiter sind mittlerweile die letzte Verteidigungslinie und müssen fit auf dem Thema sein. Wenn ich aber sehe, wie viele Mitarbeiter in verantwortungsvollen Positionen immer noch an öffentlichen Orten oder über jedes verfügbare gratis W-LANs geschäftskritische Funktionen abwickeln, muss noch einiges an der Awareness in der Gesellschaft gearbeitet werden.

Cyber Security, Data-Driven Business, Leadership, Collaboration, Nachhaltigkeit, Kulturwandel sowie die wichtigsten IT-Management Events im DACH-Raum und was CIOs und IT-Manager sonst noch wirklich bewegt. Abonnieren Sie den Confare NEWSLETTER – Gemeinsam. Besser. Informiert. Wir halten Sie auf dem Laufenden.

Newsletteranmeldung_horizontal

“Der Anwender findet immer einen Workaround”

Es ist verlockend, der Sicherheitslücke Mensch einen technischen Riegel vorzuschieben. Der Schuss geht nur leider nach hinten los. Im Digitalen Zeitalter zählen time-to-market, Usability und Innovation. Wenn die Cyber Security zum Hemmschuh des geschäftlichen Erfolgs wird, wird sie ignoriert, umgangen oder sogar bekämpft.

Je sicherer die Arbeitsumgebung, desto weniger produktiv kann der Mitarbeiter arbeiten.

Rolf Herzog
CT Cinetrade

CIO2020 Nominee Rolf Herzog
Marcus Frantz ÖBB

Marcus Frantz
ÖBB

Technologisch ist heute schon viel möglich, ich kann viel mit Restriktionen lösen, das schränkt aber sehr häufig den Nutzer in seinen Möglichkeiten ein, verkompliziert, vor allem wenn es um schnelle Interaktionen und Lösungen für das Geschäft geht. Daher ist es wichtig, den Nutzer im sicherheits- und risikotechnisch tragbaren Rahmen zu flexibilisieren und den Fokus auf die Awareness zu richten. Hier entstehen die meisten Probleme, der User findet immer einen Workaround, und daraus entstehen die echten Bedrohungen.

Benutzer sind es heutzutage aus dem Privatbereich gewohnt, viele Endgeräte zu haben und mit diesen rasch und ohne grössere Restriktionen zu agieren. Diese vermeintliche Freiheit wird dann vermehrt im Arbeitsumfeld gesucht, wobei organisatorische und technische Restriktionen dann auch immer wieder überwunden werden. Dies resultiert dann in einem Sicherheitsproblem.

Christopher Ehmsen
T-Systems

Christopher Ehmsen
Gerhard Grün

Gerhard Grün
Erber

Restriktionen schränken die Handlungsfähigkeit ein und bei zu viel Technologie wiegt man sich in falscher Sicherheit. Der grösste Hebel liegt in der Organisation und Awareness, wobei hier Veränderung am Aufwendigsten ist.

Für die zukünftige Cyber Security-Strategie empfiehlt es sich, möglichst wenige (für die BenutzerInnen sichtbare) technische Restriktionen einzubauen und bemüht zu sein, eine flexible, aber trotzdem sichere Infrastruktur zur Verfügung zu stellen.

Freddy Bürkli
T-Systems

Freddy Bürkli - T-Systems

“Aus der Schwäche eine Stärke machen”

Technische Restriktionen sind zwar unverzichtbar und helfen Fehler zu vermeiden, sie wiegen aber auch in vermeintlicher Sicherheit und zwingen die Kollegen zu Workarounds. Kluge IT-Chefs machen daher alle Mitarbeiter im Unternehmen zu Partnern bei ihren Cyber Security Bemühungen. Die Devise lautet also nicht mehr: „Sicherheit vor unfähigen Mitarbeitern!“ sondern: „Sicherheit aufgrund kompetenter Mitarbeiter!“

Beim Thema Awareness ist es notwendig, die BenutzerInnen zu einem integralen Bestandteil der Cyber Security-Strategie zu machen. Je mehr dabei auch auf die Arbeitsbedürfnisse der BenutzerInnen eingegangen wird, desto höher wird die Akzeptanz von Security-Vorgaben uns Massnahmen sein. Security-Risken verstärkt im Bewusstsein der MitarbeiterInnen zu verankern, bringt ja nicht nur einen Vorteil in der Arbeitswelt, sondern schützt auch im Privaten vor bösen Überraschungen.

Christopher Ehmsen
T-Systems

Christopher Ehmsen
Martin Schellenberg - Schutz & Rettung Zürich

Martin Schellenberg
Schutz & Rettung Zürich

Ein bekanntes Sprichwort von Konfuzius sagt: „Gib einem Menschen einen Fisch und du ernährst ihn für einen Tag. Lehre einen Menschen zu fischen und du ernährst ihn für sein Leben.“ Das Gleiche trifft auch auf Cyber Security-Trainings zu. Denn diese sind nur von vorübergehender Wirksamkeit, wenn Mitarbeitern Verhaltensvorschriften auferlegt werden, ohne ihnen den dahinterliegenden tieferen Sinn nahezubringen. Eine oft übersehene, aber lohnende Zielgruppe ist zb. das Mittelmanagement. Sie haben als Multiplikatoren und Ambassadors einen wesentlichen Einfluss, sowohl Richtung Topmanagement als auch Richtung Mitarbeiter, und können somit effizient zu einem besseren Risikoumgang beitragen.

Wolfgang Mayer

Wolfgang Mayer
HOERBIGER

Zweifellos ist der Faktor Mensch der Schlüssel für eine hohe Resilienz gegen Cyberangriffe im Unternehmen.

“Konstant dranbleiben macht den Unterschied”
Die Methoden der Angreifer verändern sich so wie die Werkzeuge, die ihnen zur Verfügung stehen. Dementsprechend gilt es die gemeinsam erarbeitete Cyber Resilienz auf dem neuesten Stand zu halten.

Hier darf man sich nicht auf bereits erhaltenen Lorbeeren ausruhen, denn auch Angreifer lassen sich ständig neue Szenarien und Ködermechanismen einfallen. Daher herrscht bei diesen Themen permanenter Handlungsbedarf.

Thomas Zapf
VERBUND

Thomas Zapf, Styria Media Group
Konrad Zöschg

Konrad Zöschg
Flughafen Zürich

Entscheidend für mich ist, wie wir als Menschen in der Organisation damit umgehen und jeder seine Rolle und Verantwortung wahrnimmt und Standards einhält. Ich vergleiche das gerne mit Hausarbeit. Ich muss bei der Organisation und Awareness immer wieder was tun, damit ich Ordnung habe und sich der Staub nicht ansetzen kann.

Mehr zum Thema finden Sie im neuen Cyber Security Factsheet 2020 powerd by T-Systems Alpine:
Factsheet Cyber Security download
CIO Event: #CIO2020
0 comment

Für Sie ausgewählt

Leave a Comment

LinkedIn
Share