Wie schützt man „Faktor Mensch“?

Faktor Mensch in der Cloud„Faktor Mensch“ ist das Schlagwort in der Sicherheitstechnik: Die Zeitschrift Silicon wollte wissen, in wie weit Insider die IT-Sicherheit gefährden und fragte den Security-Scout Rüdiger Trost der Firma F-Secure. Für ihn ist eines klar: Mitarbeiter seien eines der größten Risikofaktoren für ein Unternehmen! „Allein deshalb“, sagt er, „weil diese nicht erst ins Unternehmen gelangen müssen, um Zugriff zu Servern und Unternehmensinterna zu haben“.

Vergesslichkeit ist beim „Faktor Mensch“ normal

Als häufigste Ursache für interne Daten- sowie Sicherheitspannen sieht Trost jedoch die Tatsache, dass die Mitarbeiter Sicherheitsmaßnahmen vergessen: „Sicherheit ist ein Prozess innerhalb eines Unternehmens, der ständiger Weiterentwicklung bedarf.“ Sicherheitssysteme müssten regelmäßig überprüft und entsprechend angepasst werden, was häufig nicht der Fall sei. Darüber hinaus rät der Security-Scout Unternehmen dazu, eine eigene Security Policy zu entwickeln, in welcher geregelt ist, was im Falle eines Notfalls zu tun sei.

Es kann viele Gründe für kriminelles Verhalten geben. Das Problem besteht laut Rüdiger Trost darin, dass oftmals nicht nach der Ursache für Attacken geforscht wird, weil viele Angriffe gar nicht bemerkt werden. Andererseits sei es auch in manchen Fällen nicht möglich, diese zu verhindern, wenn interne Mitarbeiter einerseits bestechlich seien oder im schlimmsten Fall beim Leben ihrer Kinder dazu gezwungen würden Unternehmensinterna Preis zu geben.

Ist es notwendig, Faktor Mensch zu schützen?

So stellt sich die Frage, wie sich Unternehmen schützen können? Es gibt bekannte Sicherheitsmaßnahmen wie Anti-Virus-Software, Firewalls und IDS Systeme. Drei Dinge sind vor allem ausschlaggebend:

  • Alle Mitarbeiter eines Unternehmens müssen für Angriffe sowohl interner als auch externer Art sensibilisiert werden.
  • Daten müssten priorisiert werden. Besonders wichtige Unternehmensinterna benötigen einen besonderen Schutz. Nur wenige, ausgewählte Mitarbeiter sollten Zugriff auf sie haben.
  • Man muss auf die Aktualität der Software achten. Denn laut einer Studie von F-Secure könnten etwa 83 Prozent aller Angriffe häufig registrierter Malware-Typen bereits im voraus durch regelmäßig aktualisierte Software verhindert werden.

So kompliziert, wie Trost es beschreibt, muss es allerdings nicht sein: Die Basistechnologie Sealed Cloud z. B.  schließt technisch aus, dass Mitarbeiter auf unverschlüsselte Daten zugreifen. Man nennt das „Betreibersicherheit“. Es braucht keine organisatorischen Maßnahmen, um das Vergessen von Sicherheitsstandards oder Insider-Missbrauch zu verhindern. Die Technik lässt außer dem Besitzer der Daten niemanden ohne Erlaubnis an diese heran, selbst den Admin nicht.

Um die Sensibilisierung der Mitarbeiter kommt man allerdings nicht herum. Die Sicherheit eines Unternehmens steht und fällt mit dem Bewusstsein. Die Sealed Cloud minimiert nur den Schaden erheblich, wenn doch einmal ein Passwort von einem Mitarbeiter in fremde Hände gelangt. Dem vorzubeugen gibt es noch weitere Maßnahmen – die 2 Faktor Authentifizierung ist eine davon.