15. Januar 2016 | pArtikel drucken | kKommentieren

Mitarbeiter sind die größte Gefahr bei Cyberangriffen

Zwei Drittel der deutschen Unternehmen wurde in den letzten Jahren von Cyberangriffen heimgesucht. Eine Studie zeigt jetzt: Die Angriffe selbst sind nicht das Problem, vielmehr liegt der größte Risikofaktor bei der Unachtsamkeit der Mitarbeiter.

Fehlende Updates, Social Engineering und Industriespionage – diese drei Beispiele können Gründe für Cyberangriffe sein. Gerade in Hinblick auf den deutschen Mittelstand mit seinen Hidden Champions gäbe es mehr als genug Gründe – und Möglichkeiten – sich in sensible Daten zu hacken.

Laut der Allianz für Cyber-Sicherheit (ACS), eine Initiative des Bundesamtes für Sicherheit in der Informationstechnik (BSI), findet sich die häufigste Ursache für digitale Angriffe aber in den Reihen der Humanressourcen.

Eine Ursache, viele Möglichkeiten

Bild: Evernine

Nutzen Ihre Mitarbeiter private Endgeräte für die Arbeit? Und falls ja: Sind diese nach Ihren Richtlinien geschützt? (Bild: Evernine)

So landeten die Mitarbeiter in einer Umfrage der ACS auf Platz eins der größten Sicherheitslücken. Über die Hälfte der befragten Unternehmen gab an, dass Kollegen, Lieferanten oder Zeitarbeiter den digitalen Übergriff durch Cyberkriminelle überhaupt erst möglich gemacht hätten.

Dieses Fazit erscheint nicht nur beunruhigend, sondern zeigt, dass in punkto Cyber-Aufklärung und -Prävention ein immenser Nachholbedarf besteht. CANCOM.info schlüsselt die Details der deutschen Cyberangriffe auf und gibt Ihnen Tipps, wie Sie sich und Ihre Mitarbeiter besser vor Angriffen schützen können.

1. Schützen Sie Ihre Technik vor Cyberangriffen

Die Unachtsamkeit der Mitarbeiter mag zwar die häufigste Ursache für Cyberangriffe sein, die befragten Unternehmen glauben jedoch nicht, dass man hierbei maßgebliche Änderungen vornehmen kann.

Regelmäßige Schulungen von Mitarbeitern zum Thema IT-Security seien demnach wichtig, aber kommen laut ACS-Umfrage erst an elfter Stelle. Vielmehr sollte die technische Infrastruktur innerhalb der Unternehmen besser geschützt sein. So können Cyberangriffe aufgrund der Unachtsamkeit der Mitarbeiter abgeschwächt oder vollständig abgewehrt werden.


Diese Maßnahmen sollten Sie ergreifen:

Verschlüsselung von Kommunikation (E-Mail, Telefonie)

Mobile Device Management

Verschlüsselung von Datenträgern

Strukturiertes oder zentralisiertes Patchmanagement


2. Dokumentieren Sie alle privaten Endgeräte

Bild: Pixabay

Kurz privat im Web gesurft und direkt im Anschluss wird mit der kaufmännischen Software gearbeitet. Doch was passiert, wenn sich Ihr Mitarbeiter bei der privaten Abwechslung bereits einen Virus eingefangen hat? (Bild: Pixabay)

Private USB-Sticks, Smartphones, Tablets und Computer – Endgeräte, die nicht zum Firmeneigentum gehören, sollten strengstens dokumentiert und im Notfall verboten werden.

Das Problem lässt sich einfach erklären: Mitarbeiter, die private Endgeräte im Unternehmen zum Arbeiten nutzen, liefern eine breite Angriffsfläche für Hacks und Co. Gerade wird noch privat im Web gesurft, in der Mittagspause lädt man sich die neueste Game-App herunter. Gleichzeitig werden die Devices aber auch für Firmen-Mails, die Bearbeitung interner Dokumente und die Pflege von Kundenkontakten genutzt.

Wer sein Endgerät demnach für private und berufliche Zwecke gleichzeitig benutzt, bietet Cyberkriminellen grundsätzlich auch die doppelte Angriffsfläche. Über App-Berechtigungen oder dubiose Onlineshopping-Portale lässt sich rasch ein Einstieg aufs Smartphone finden, der Zugriff auf die unternehmensinternen Daten ist ohne Probleme geschafft.


Worst-Case: Mitarbeiter nutzen ähnliche Passwörter, laden Fremdsoftware und nutzen Plugins für Browser ohne Rücksprache mit dem Unternehmen.


Gleiches gilt übrigens auch für die Nutzung von privaten USB-Sticks: Diese gehören unter keinen Umständen an den Firmen-PC. Als Unternehmen können Sie schlicht und einfach nicht sicher sein, was Ihr Mitarbeiter in seiner Freizeit auf den Stick downloaded.

Videos von CANCOM.info

Dokumentieren Sie stattdessen alle privaten Endgeräte und legen Sie ein Regelwerk für die Nutzung fest. Hierbei können Sie etwa vorschreiben, für welche Funktionen die Geräte genutzt werden dürfen, welche Firmware installiert sein muss und welche Security-Software auf das private Smartphone Ihrer Mitarbeiter gehört.

3. Thematisieren Sie IT-Security in regelmäßigen Abständen

Weniger als ein Viertel der befragten Unternehmen lässt seine Systeme durch externe Prüfer regelmäßig auf Sicherheitslücken untersuchen. Durch interne Mitarbeiter prüft nur ein Fünftel der Firmen.

Dass überhaupt regelmäßig geprüft wird, ist ein wichtiger Schritt. Das Problem bestimmt allerdings die Mehrheit: So nutzen zwei Drittel der Unternehmen keinerlei oder nur äußerst unstrukturierte Maßnahmen zur Prävention von Cyberangriffen.

Die Allianz für Cyber-Sicherheit kommt aufgrund dieser mangelhaften Präventionsmaßnahmen zum Schluss, dass Business-Entscheider an vorderster Front IT-Security in der Belegschaft thematisieren müssen.


Diese Themen sollten regelmäßig angesprochen werden:

Neueste Gefahren durch Cyberkriminelle

Grundlegende Schutzmechanismen und Abläufe

Sicherer Umgang mit sensiblen Daten und Dokumenten


Quelle Titelbild: Pixabay

Hier schreibt Lenz Noelkel für Sie

Mehr Artikel vom Autor