Höchstes IT-Risiko sind die eigenen Mitarbeiter


News

Die größte Bedrohung für die Informations- und IT-Sicherheit eines Unternehmens sind nicht Viren, Hacker oder Phishing-Attacken, sondern die eigenen Mitarbeiter. Die Experten der Nationalen Initiative für Internetsicherheit (NIFIS) gehen davon aus, dass mehr als die Hälfte der Sicherheitsvorfälle in den Betrieben auf das Konto der eigenen Angestellten geht. "Eine aktuelle Studie hat darüber hinaus ermittelt, dass rund drei Viertel der befragten IT-Manager in Deutschland die Aufklärung der eigenen Mitarbeiter hinsichtlich bestehender und potenzieller Sicherheitsrisiken als besondere Herausforderung ansehen", berichtet Peter Knapp, Vorstandsvorsitzender der Selbsthilfeorganisation NIFIS, die aus der Wirtschaft für die Wirtschaft agiert. Die Unternehmen sind sich der zunehmenden Gefahr im eigenen Haus also durchaus bewusst. "Es hapert aber noch an der Ergreifung adäquater Maßnahmen, um das davon ausgehende Schadenspotenzial einzudämmen", sagt Peter Knapp.

Beschaffung schützender IT-Systeme

NIFIS hat sich deshalb zum Ziel gesetzt, zum einen aktive Aufklärungsarbeit bei den Mitarbeitern über aktuelle Bedrohungen zu leisten, zum anderen aber auch die Führungsebene bei der Einführung von Konfliktmanagementsystemen, der angemessenen Ausgestaltung von Arbeitsverträgen und der Beschaffung schützender IT-Systeme zu unterstützen. "Mitglieder erhalten von NIFIS ein Paket an Dienstleistungen und aktiver Beratung, das diese effektiv gegen Angriffe auf die Informations- und IT-Sicherheit absichert", so Dr. Thomas Lapp, Rechtsanwalt und Mediator sowie Vorstand des NIFIS e.V. Wichtig ist in einem ersten Schritt die Ursachenforschung: zu unterscheiden sind bei der Bedrohung durch eigene Mitarbeiter die bewussten und unbewussten Schädigungen. So entstehen häufig aus bloßer Unwissenheit um Verhaltensregeln am Arbeitsplatz Sicherheitslücken. "In diesem Zusammenhang schaffen die Information und Schulungen der Mitarbeiter am besten Abhilfe", erklärt Dr. Thomas Lapp. Dabei müsse den Angestellten ausreichend Zeit zur Verfügung gestellt und die Schulungen aktuell, verständlich und ansprechend gestaltet werden. "Außerdem dürfen den Mitarbeitern in solchen Fällen keine Vorwürfe gemacht werden, damit Fehler offen angesprochen und Ursachen abgestellt werden können."

Probleme frühzeitig identifizieren

Schwieriger wird es bei Sicherheitsvorfällen, die auf Böswilligkeit oder Nachlässigkeit zurückzuführen sind. Die Gründe dafür liegen meist in der mangelnden Motivation der Mitarbeiter oder schwelenden Konfliktherden zwischen einzelnen Personen oder Abteilungen. Um solchen Problemen bereits im Vorfeld begegnen zu können, ist es absolut notwendig, dass in den Unternehmen Prozesse vorhanden sind und gelebt werden, die solche Risiken minimieren.  Darüber hinaus ist es empfehlenswert, ein Konfliktmanagementsystem zu etablieren, das dabei hilft, Probleme frühzeitig zu identifizieren. Als begleitende Maßnahme bietet sich die Ausbildung und der Einsatz von innerbetrieblichen Mediatoren an, die zwischen den Problempersonen vermitteln. Außerdem sollte das Konfliktmanagementsystem anhand bereits gelöster Probleme stetig weiter entwickelt werden, um in ähnlichen Fällen vorbereitet zu sein und die Zeit bis zur Ergreifung von Maßnahmen zu verkürzen. "Aufgrund der frühzeitigen Erkennung und Behandlung von Konfliktsituationen lässt sich oftmals auch der kostspielige und nervenaufreibende Gang vor Gericht vermeiden", nennt Dr. Thomas Lapp einen weiteren Vorteil.

Bessere Systeme verhindern Fehler

Als präventive Maßnahme rät NIFIS weiterhin zur Entwicklung fehlertoleranter IT-Systeme. Bedienungsfehler und Sicherheitsprobleme sind häufig in der starren Ausgestaltung des IT-Systems begründet, das an Mitarbeiter zu hohe Forderungen stellt oder typische menschliche Denkmuster und Schwächen nicht ausreichend berücksichtigt. "Die Fehlertoleranz sollte dementsprechend auch als Anforderung und Abnahmekriterium in jeden im Zusammenhang mit der IT stehenden Vertrag integriert werden", schlägt Dr. Thomas Lapp vor. "Bessere Systeme verhindern solche Fehler und führen zu einer größeren Zufriedenheit der Mitarbeiter."

NIFIS Nationale Initiative für Internet-Sicherheit e.V. ist die Selbsthilfeorganisation der Wirtschaft, um Unternehmen im Kampf gegen die wachsenden Gefahren aus dem Internet technisch, organisatorisch und rechtlich zu stärken. Hierzu will NIFIS Konzepte für den Schutz vor Angriffen aus dem Datennetz entwickeln, in pragmatische Lösungen umsetzen und der Wirtschaft zur Verfügung stellen. NIFIS fällt damit im Datenverkehr eine ähnliche Rolle zu wie einem Automobilclub im Straßenverkehr.

 

Themengebiete
In Verbindung stehende Artikel
Fehlende Risikomanagement-Strategie als Ursache für Datenskandale
Themenverwandte Artikel
Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.