Illustration: Absmeier, Honeycombhc

Unternehmen geben große Summen aus, um ihre IT-Infrastruktur zu schützen. Dennoch gelingt es professionellen Hackern immer wieder, in Systeme einzudringen. Die größte Schwachstelle ist nach wie vor der Anwender. Softwarelösungen können helfen, die »Schwachstelle« Mensch zu stärken.

Gefahrenquelle Mitarbeiter 

Cyberkriminelle haben es verstärkt auf kleine und mittlere Unternehmen (KMUs) abgesehen. Der Grund dafür sind oft nur unzureichende Sicherungsmaßnahmen im Bereich der IT-Sicherheit, etwa effiziente Passwort-Management-Systeme. Hinzu kommen Mitarbeiter der Gattung DAU (Dümmster anzunehmender User), also Personen, die sich mit moderner Technik nicht auskennen und deshalb vorgesehene technische Abläufe nicht verstehen. Oft sind es aber auch schlicht die Unternehmensstrukturen, die das sinnvolle Handeln von Mitarbeitern verhindern und die IT-Sicherheit gefährden.

Weil solche infrastrukturellen Unzulänglichkeiten oft unbemerkt bleiben, werden Mitarbeiter als interne Gefahrenquelle ausgemacht. Jede Unternehmensleitung muss sich deshalb die Frage stellen, warum es das Phänomen der DAUs im Unternehmen gibt und ob nicht auch infrastrukturelle Unternehmensprobleme die Ursache dafür sind, dass Mitarbeitende so handeln, wie sie es tun.

Software-Lösungen können Mitarbeitende im Bereich IT-Security entlasten

Erwiesenermaßen ist ein Unternehmen immer nur so sicher, wie sich die Mitarbeitenden verhalten. Gibt es beispielsweise keinen effizienten Passwort-Manager, sind die Mitarbeitenden gezwungen, sich selbst Passwörter auszudenken. Meist nutzen sie dafür bekannte Namen, Daten oder Ereignisse. Der Name der Tochter in Verbindung mit ihrem Geburtsdatum oder der Ort der Hochzeit, natürlich verbunden mit dem Hochzeitsdatum sind aber Informationen, die sehr häufig auch im Profil der genutzten sozialen Netzwerke aufgelistet oder anderweitig herauszufinden sind.

Die Verwaltung zahlreicher Passwörter ist auf Dauer gesehen sehr zeitaufwendig und kostet oft auch Nerven. Mit einer Software, die in der Lage ist, sehr starke Passwörter automatisch zu generieren und mithilfe eines automatischen Logins alle sensiblen Daten zu verwalten und zu schützen, minimiert das Risiko eines erfolgreichen Hackerangriffs.

Es gibt aber noch eine zusätzliche Schutzebene, die dem Mitarbeitenden ein sicheres Umfeld für seine Tätigkeit bietet. Die Multi-Faktoren-Authentifizierung. Ein starkes Passwort ist gut, ein stärkeres Passwort ist großartig. Das Sicherheits-Optimum bildet die Multi-Faktor-Authentifizierung als Verbindung von Passwort und Gesichtsscan, Fingerprint beziehungsweise One-Time-Password.

Damit nicht nur ein Mitarbeitender sichere Passwörter verwendet, bieten moderne Passwort-Management-Systeme auch die Möglichkeit, Passwörter zurückzusetzen sowie sie nur mit Sichtschutz beziehungsweise Siegelfunktion verschlüsselt zu zeigen und nicht im Klartext. Diese Systeme sind auch in der Lage, die Datenhoheit zu gewährleisten. Einhaltung von Passwortrichtlinien über Funktionen wie Zählung der Passwortänderungen oder der Logins.

Einsatz von Software & gezielte Unterstützung

Der Einsatz effektiver Software die den Passwortschutz optimiert, kann aber immer nur eine Maßnahme sein. Zudem muss das Unternehmen auch dafür Sorge tragen, dass seine Mitarbeitenden hinsichtlich der IT-Security immer auf dem aktuellsten Stand sind. Dies lässt sich durch regelmäßige Schulungen und einen eigenen Ansprechpartner in den IT-Abteilung bewerkstelligen. In Workshops zu den Themen Passwortschutz, Authentifizierungsverfahren und Verhaltensrichtlinien kann das notwendige Wissen vermittelt werden, etwa zur Komplexität und Länge sicherer Passörter oder zum Umgang mit Phishing-E-Mails.

Ein wesentlicher Faktor bei dem Bestreben, die eigenen Mitarbeitenden zu unterstützen, ist die Erarbeitung von Verhaltensrichtlinien zum Thema IT-Sicherheit. Das beginnt bei der Auflistung von Dingen, die am unternehmenseigenen Rechner zu unterlassen sind (etwa der Download privater Software oder das Öffnen von Mails, die sich nicht exakt einer Person, einem Kunden oder einem Geschäftspartner zuordnen lassen.

Solche Richtlinien, wie es sie auch für den Passwortschutz gibt, sind vor allem notwendig, wenn der Mitarbeitende im Homeoffice tätig ist und zu diesem Zweck unternehmenseigenen Hard- und/oder Software verwendet. Die Richtlinien sollten so formuliert sein, dass es keine Missverständnisse gibt, etwa darüber, ob der Nachwuchs mit dem Firmenlaptop hantieren darf oder nicht. Sie sollten aber auch vorgeben, ob die Verbindung zum Unternehmensnetzwerk ausschließlich über VPN hergestellt werden darf oder was im Homeoffice zu tun ist, wenn es im Unternehmen einen erfolgreichen Hackerangriff gegebenen hat.

Infrastruktur und Mensch: Zwei Seiten der Medaille IT-Sicherheit

Unternehmen müssen immer beide Faktoren zusammendenken, Technologie und Mensch. Der Mensch ist die wichtigste Ressource für jedes Unternehmen und muss in die Lage versetzt werden, heute unabdingbare technische Schutzmaßnahmen, etwa in Gestalt eines starken Passwort-Management-Systems, so zu nutzen, dass sie effizient sind und die IT-Sicherheit im Unternehmen und darüber hinaus zu schützen.

Sascha Martens, CTO der MATESO GmbH