Gefahr von innen

In Bezug auf die Sicherheit im Unternehmen stehen auch immer wieder die eigenen Mitarbeiter im Fokus. Vielfach heisst es, diese seien eine ebenso grosse Gefahr wie Hacker – zum Beispiel wenn sie leichtfertig auf Phishing-E-Mails klicken. Jedoch: «Die überwiegende Mehrheit der sogenannten Innentäter sind eigentlich keine Mitarbeiter, sondern Hacker, die gekaperte Accounts missbrauchen», weiss Carsten Hoffmann, Manager Sales Engineering bei Forcepoint, einem Anbieter von Tools für den Datenschutz und die Datensicherheit.

Ein erheblicher Anteil der Probleme trete aber auch nach Fehlern durch tatsächliche Mitarbeiter auf, die einfach aus Unwissenheit oder Unachtsamkeit vertrauliche Daten weitergeben. «Und lediglich ein verschwindend kleiner Anteil an Leaks geht auf Industriespionage, also absichtliche Sabotage durch Mitarbeiter zurück.» Letztere würden allerdings einen überproportional hohen Scha­den anrichten.

Carsten Hoffmann macht in diesem Zusammenhang auf den Aspekt aufmerksam, dass die Herausgabe von sensiblen Informationen aus Unachtsamkeit oder Unwissenheit nur bedingt ein Thema der IT-Abteilung oder gar der IT-Security-Abteilung sei. «Wenn ein Mitarbeiter einen Firmenwagen aus dem Fuhrpark leiht und sich nicht anschnallt, dann blinkt ein Warnsignal im Auto und er wird sich – hoffentlich – anschnallen.» Keiner würde auf den Gedanken kommen, dieses Problem dem Fuhrpark­manager zu melden.

Genauso verhalte es sich mit der Absicherung sensi­bler Daten: Wie das Warnlicht im Auto müssten Unternehmen ihren Mitarbeitern entsprechende Werkzeuge an die Hand geben, die sie dazu befähigen, sich und die Firma zu schützen. «DLP – also die Data-Loss-Prevention-Technologie – ist ein solches Werkzeug. Mit DLP ausgestattete Tools warnen Mitarbeiter davor, wenn sie vertrauliche Daten ins Internet stellen oder auf einen USB-Stick ziehen wollen.»

Ob von innen oder von aussen – Sicherheitslücken stellen seit Jahren eine elementare Bedrohung dar und öffnen Angreifern Tür und Tor in Unternehmensnetzwerke – und sie werden immer bedeutender.

Besonders eindrucksvoll hat dies im vergangenen Dezember die Log4Shell-Schwachstelle gezeigt. Die löchrige Java-Bibliothek auf unzähligen Servern im Internet ermöglichte das Ausführen von Schadcode. «Hier müssen Unternehmen noch stärker als bisher darauf achten, dass keine veraltete Software im Einsatz bleibt und Updates rasch ausgerollt werden», fasst Thorsten Urbanski von Eset zusammen.

Nach fester Überzeugung von Carsten Hoffmann steht den Unternehmen eine sehr gefährliche Zeit bevor, weshalb der Schutz ihrer Daten und die Privatsphäre ihrer Kunden in einer immer digitaler werdenden Welt höchste Priorität haben müsse. «Unternehmen sollten immer daran denken, was passieren würde, stünden ihre Daten öffentlich zur Verfügung. Der wirtschaftliche Nutzen von gewissen Daten mag zuweilen gering, der Schaden für Betroffene oder die Gesellschaft durch deren Veröffentlichung kann allerdings enorm sein.»