Risikofaktor Mensch: Die 5 größten Fehler, die Angestellte beim Datenschutz machen

“Cyberangriffe? Das betrifft doch nur die großen Unternehmen! Bei uns gibt es nichts zu holen, was einen Hacker interessiert.”

Solche oder ähnliche Aussagen hört man immer wieder im Gespräch mit mittelständischen Unternehmen. Kein Wunder: Datensicherheit ist teuer, das Budget dafür meistens klein. Nicht zuletzt im Rahmen der Vorbereitungen auf die DSGVO haben unabhängige Datenschutzbeauftragte ihre Preise ordentlich angezogen.

Nur hat der Standpunkt, dass ausschließlich große Unternehmen sich vor Hackern fürchten müssten, leider so gar nichts mit der Realität zu tun. Wer immer noch dieser Meinung ist, der geht ein hohes Sicherheitsrisiko ein.

Schon letztes Jahr wurde bekannt: Auch der deutsche Mittelstand muss sich immer stärker gegen Cyberangriffe wehren. In einer Umfrage gab jedes fünfte Unternehmen an, schon einmal zum Opfer eines erfolgreichen Angriffes geworden zu sein. Die Dunkelziffer dürfte noch wesentlich höher liegen – schließlich wird nicht jeder Angriff tatsächlich bemerkt.

In großen wie in kleinen Unternehmen sind es genau drei Punkte, die sich als Schwachstellen erweisen: Menschen, Prozesse und Technologien. Besonders die eigenen Angestellten stellen oft eine massive Sicherheitslücke dar.

Dabei ist selten böse Absicht im Spiel – meist sind es Unwissen oder Fahrlässigkeit. Lassen Sie dazu einmal folgende Zahlen auf sich wirken:

  • Eine amerikanische Umfrage von 2016 zeigte, dass immerhin 55% der befragten Unternehmen aufgrund eines Fehlverhaltens der eigenen Mitarbeiter schon einmal Opfer einer Cyberattacke geworden waren.
  • Dem Verizon Data Breach Investigations Report von 2017 zufolge wurden bei 81% der Hacker-Angriffe schwache Passwörter ausgenutzt. 81 Prozent!
  • In einer Studie von OCULD gaben 70% der Befragten an, dass Mitarbeiter, die nicht für den Datenschutz sensibilisiert wurden, die größte Gefahr für die unternehmenseigene Datensicherheit seien.

 

Nun hört man aber nicht selten Sprüche wie:

“Ich bin safe, ich hab ein Antivirenprogramm”

Oder: “Das ist nicht meine Verantwortung.” Wahlweise: “Die IT kümmert sich schon”, oder auch: “Das ist Aufgabe des Managements.” Mit dieser Einstellung setzen sich immer noch zahlreiche Mitarbeiter morgens an den Schreibtisch. Dahinter steht die Erwartung, dass irgendwer in den oberen Ebenen das schon Problem schon regeln wird.

Tatsächlich obliegt es ja auch nicht den einfachen Angestellten, ein umfassendes Sicherheitskonzept zu entwickeln. Und ja, das Management hat die Aufgabe, sämtliche Mitarbeiter für das Thema zu sensibilisieren. Dennoch ist es aber Tatsache, dass jeder einzelne Angestellte zur Datensicherheit beiträgt. Schon kleinste Fahrlässigkeiten können zu größten Datenlecks führen. Die eigene Belegschaft muss sich also nicht nur an die neue IT-Infrastruktur gewöhnen, sondern auch das eigene Verhalten stärker hinterfragen.

 

Die DSGVO rückt immer näher – endlich beginnen auch mittelständische Unternehmen, sich mit dem Thema Datensicherheit auseinanderzusetzen. Ein guter Anlass, um auch das Verhalten der eigenen Mitarbeiter unter die Lupe zu nehmen. Was sind die größten Fehler der Angestellten, wenn es um die Datensicherheit geht, und wie können Sie das Risiko minimieren?

 

1. Schwache Passwörter

Der Klassiker. Und ja, auch im Jahr 2018 muss man noch regelmäßig darauf hinweisen, dass Passwörter wie “test123” keinen hinreichenden Sicherheitsschutz bieten. Wer uns das nicht glaubt, möge einen Blick auf die Top10 deutscher Passwörter werfen, die das Hasso-Plattner-Institut jedes Jahr veröffentlicht. 2017 führte 123456 die Liste an, gefolgt von 123456789 auf Platz 2. Im Worst-Case-Szenario ist das dann auch noch das Passwort, mit dem sich der Mitarbeiter in sämtliche Dienste und Programme einloggt.

Mithilfe von Programmen, die pro Sekunde hunderte von Passwörtern generieren und testen, schaffen es Hacker verhältnismäßig schnell, sich Zugang zu sensiblen Daten zu verschaffen. Je einfacher das Passwort, desto schneller sind sie drin.

Rufen Sie deshalb Ihre Mitarbeiter dazu auf, Passwort-Manager zu benutzen, die absolut sichere Passwörter generieren – und zwar ein eigenes für jede Software, jedes Tool und jede App. Sichere Passwörter bestehen aus über 12 Zeichen inklusive Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen. Weil sich aber kein Mitarbeiter Passwörter wie t*%hGdL1AxYJ merken kann, speichern die Passwort-Manager alle Passwörter in einem digitalen Schlüsselbund ab.

 

2. Grobe Fahrlässigkeit

Oft ist Mitarbeitern gar nicht bewusst, dass Daten sensibel sind, und dementsprechend lax gehen sie damit um. Dateien werden etwa unverschlüsselt verschickt oder Informationen bereitwillig preisgegeben. Das fängt schon damit an, dass die Angestellten in ihrem LinkedIn-Profil angeben, mit welcher Software sie umgehen können.

Hackern liefert das gute Anhaltspunkte darüber, welche Computerprogramme in Ihrem Unternehmen eingesetzt werden. Von da aus können sie in wenigen Schritten die Schwachstellen der Software ermitteln und einen erfolgreichen Angriff durchführen.

Anderer Fall: E-Mail. Wie oft kommt es vor, dass eine vertrauliche Mail wegen eines irrtümlichen Klicks im falschen Postfach landet? Oder noch viel schlimmer: Der E-Mail-Verteiler wird offengelegt und jeder Empfänger hat plötzlich Zugang auf die Adressen der restlichen 12.000 Empfänger.

Niemand meint es böse. Aber trotzdem passieren solche Fehler. Hier hilft eine Unternehmenskultur, in der Datensicherheit ganz oben auf der Prioritätenliste steht. Schulungen und gelebte Praxis helfen, im gesamten Unternehmen ein Bewusstsein für solche Risikoquellen zu schaffen. Nur Mitarbeiter, die für ihr eigenes risikoreiches Verhalten sensibilisiert werden, können daran arbeiten, es zu verbessern.

 

3. Zu viel Software

E-Mail. Ein Chatprogramm für den internen Austausch unterwegs. Ein Passwort-Manager. Eine digitale To-Do-Liste. Ein Verschlüsselungsprogramm für E-Mail-Anhänge. Eine Firewall. Ein Antivirusprogramm. Ein spezieller Ordner im Intranet für ganz besonders sensible Daten. Am besten noch ein altmodisches Notizbuch für die ganz besonders besonders sensiblen Daten. Kein Wunder, dass Angestellte da mitunter die Übersicht verlieren und am Ende sensible Daten über den falschen Kanal verschickt werden.

Insbesondere IT-Verantwortliche wünschen sich laut einer Forrester-Studie eine Anwendung, die diverse Aspekte der Datensicherheit integriert. Befragt wurden die Datenschutzverantwortlichen von 150 branchenübergreifenden Unternehmen in USA und Kanada. 76 % davon wünschen sich eine Software, die mit aktuellen Verordnungen konform ist. Das ist auch hierzulande relevant – wir denken da an die DSGVO. Für 74 % der Befragten ist die Integration mit der bestehenden Infrastruktur wichtig, und 71 % legen Wert auf ein möglichst einfaches Management.

Unterm Strich glauben 96% der Befragten, dass sie davon profitieren würden, eine integrierte Software zum Datenschutz zu verwenden statt zig verschiedene. Dadurch werden Ressourcen frei, mit denen man sich dann auf die wichtigen Dinge konzentrieren kann – zum Beispiel das Tagesgeschäft.

 

4. Zu wenig Software

Wir hatten ja eingangs davon gesprochen, dass Technologie bzw. Software ein Sicherheitsrisiko darstellt. Das geht aber häufig auch auf menschliches Fehlverhalten zurück.

Denken Sie zum Beispiel mal an das Pop-Up, das Sie dazu aufruft, Ihr Betriebssystem oder Ihren Browser zu aktualisieren. Hand aufs Herz: Wie oft haben Sie diese Benachrichtigung in den letzten Monaten weggeklickt, weil sie Ihnen gerade ungelegen kam? Eine Studie der Brigham Young University in Kooperation mit Google Chrome deckte auf, dass 90 % der Befragten wichtige Sicherheitshinweise ignorieren, und zwar schlicht weil sie zum falschen Zeitpunkt erscheinen – zum Beispiel während eines Videos oder während der Nutzer etwas tippt. Veraltete Programme gehören aber oft zu den ergiebigsten Angriffsflächen für Hacker, denn die finden hier Sicherheitslücken, die in Updates längst gestopft sind.

Übrigens: “Wenig Software” heißt nicht “mehr drucken.” Auch das Ausdrucken sensibler Dokumente kann eine Gefahrenquelle darstellen, wie ein Vorfall aus dem Jahr 2008 anschaulich zeigt. Da vergaß ein Mitarbeiter des britischen Kabinetts einen dicken Aktenordner im Zug, der geheime Informationen zum Terror-Netzwerk al-Qaida enthielt.

 

5. Daten im privaten Umfeld aufbewahren

Das Wochenende naht, doch die Arbeit ist nicht geschafft. Kurz vor Feierabend schickt sich der Mitarbeiter also noch schnell einige Tabellen an die private E-Mail-Adresse, um am Wochenende weiterarbeiten zu können. Oder er speichert Daten auf seinem persönlichen Laptop oder dem USB-Stick an seinem Schlüsselbund, um sie während einer Zugfahrt zur Verfügung zu haben.

Solcher Arbeitseifer mag vorbildlich sein, die Handhabung der Daten ist es dagegen nicht. Die wenigsten Mitarbeiter wenden nämlich die Sicherheitsvorschriften, die für ihre beruflichen E-Mail-Adressen gelten, auch auf ihre privaten an. Oft steht ihnen die dazu erforderliche Software am Privat-PC gar nicht zur Verfügung.

Die Angestellten speichern sensible Daten dann also auf dem gleichen Gerät, mit dem sie auch auf unsicheren Webseiten surfen, dubiose Programme installieren und das mit dem Passwort 123456 zu entsperren ist. Und so ein Computer, USB-Stick oder ein Handy mit allen Kundenkontakten ist schnell verloren oder geklaut.

Insbesondere im Rahmen der DSGVO müssen hier strenge Regeln gelten. BYOD (Bring Your Own Device) ist nicht. Mitarbeiter sollten nur firmeneigene Festplatten, USB-Sticks und Computer nutzen, und selbst hier sollten alle Zugänge entsprechend verschlüsselt sein.

 

Unterm Strich wird deutlich: Das Verhalten Ihrer Mitarbeiter kann auch dann gefährlich sein kann, wenn sie es gar nicht böse meinen. Mit einer starken unternehmensweiten Sicherheitskultur sichern Sie sich dagegen ab und minimieren Ihr Risiko. Dazu gehört auch die richtige technische Infrastruktur – und wir von UWorkX freuen uns, Sie in diesem Punkt tatkräftig zu unterstützen.

 

Sie wollen zum Thema DSGVO und Datenschutz immer auf dem neusten Stand bleiben? Liken Sie unsere Facebook-Seite!