IT: Risikofaktor Mensch

Cybercrime

27.05.2022

Um für Datensicherheit zu sorgen, müssen Unternehmen viele Aspekte beachten. Wo besondere Gefahren lauern und wie KMU Abhilfe schaffen können, erklärt Peter Völkl, Studiengangsleiter für Wirtschaftsinformatik der Ferdinand Porsche FernFH.

Welche Rolle spielt der Faktor Mensch, um Informationssicherheit in Unternehmen zu gewährleisten?

Der Faktor Mensch spielt eine wesentliche Rolle in der Informationssicherheit. Die Basis eines funktionierenden IT-Sicherheitsmanagements ist die Sensibilisierung bzw. Bewusstseinsbildung für die IT-Sicherheit. Dabei ist es besonders wichtig, individuell auf die Anforderungen der einzelnen Unternehmensbereiche und auf die Situationen der MitarbeiterInnen einzugehen.

Wie oft müssen Mitarbeiter denn Ihrer Erfahrung nach geschult werden, damit die Awareness erhalten bleibt?

Die Schulungen und Auffrischungen sollten auf jeden Fall regelmäßig stattfinden, nicht als einmaliges Projekt gesehen werden und in einen Weiterbildungsprozess eingebunden sein. Gleiches gilt für Awareness Kampagnen. Die Häufigkeit der Trainings hängt von vielen Parametern ab. Haben sich Prozesse geändert? Gibt es neue Risiken? Auch auf neue Mitarbeiter*innen darf dabei natürlich nicht vergessen werden.

Was können KMU rasch und ohne großen Aufwand tun, um sich vor Angriffen zu schützen?

Grundlage eines jeden Informationssicherheitsmanagements ist ein funktionierendes IT-Risikomanagement und entsprechende Risikoanalysen, welche wiederum auf den Geschäftsprozessen basieren. Sie müssen sich der kritischen Prozesse im Unternehmen bewusst sein und Maßnahmen treffen diese aufrecht zu halten und zu schützen. Dabei geht es nicht immer nur um Angriffe von außen, sondern auch um die Beachtung von Risiken im Bereich der Verfügbarkeit und Integrität der Systeme und Daten.

Wer sollte dafür den Hut aufhaben?

IT sollte immer so nahe wie möglich an der Geschäftsführung angesiedelt sein und mit den Process-Owners zusammenarbeiten, um effizient zu sein und Problemstellungen aus den Geschäftsbereichen durch IT-Einsatz begegnen zu können und damit zum Business-Enabler zu werden. Genauso ist es mit der Informationssicherheit. Diese sollte nicht nur unbedingt auf dieser Ebene eingebunden sein, sondern auch in allen Führungsebenen gelebt werden. Wenn sich das Management nicht selbst an die Vorgaben hält, kann die nötige Security Awareness nicht bestehen.

Wo lauern aktuell die größten Gefahren?

Die Gefahren durch Malware und Cyber-Erpressungsmethoden haben in den letzten Jahren zugenommen. Einer Auswertung des BSI zufolge gab es im Jahr 2021 über 144 Millionen neue Schadprogramm-Varianten – das sind bereits 22% mehr als noch 2020. Auch die Angriffsoberfläche wird immer größer, da immer mehr unterschiedliche Geräte eine direkte Internetverbindung nutzen.

Was tun, wenn man betroffen ist? Gibt es klassische Dos and Dont‘s für den Ernstfall?

Im besten Fall gibt es dafür einen Prozess im eigenen Informationsmanagementsystem. Ist ein Unternehmen darauf vorbereitet, wie im Ernstfall vorzugehen ist? Wer wird informiert? Welche Aktionen werden gesetzt, um weiteren Schaden abzuwenden und kritische Geschäftsprozesse aufrecht zu halten? usw. Das größte Don‘t ist, sich im Vorfeld keinen Notfallplan zurechtgelegt zu haben.

Eine Erkenntnis aus Ihrer Forschungstätigkeit, die Sie überrascht hat?

Überraschend war, dass es zwar viele Frameworks und Methoden zum Schutz von Usern in Systemen gibt, jedoch nur wenig zum Schutz der Systeme vor Missbrauch des Zugangs durch berechtigte Anwender*innen. Es steht aktuell meist die User-Sicht und nicht die Systemsicht im Vordergrund. Ein gutes Beispiel dafür sind die inzwischen an Bedeutung gewonnen Online-Prüfungen und die damit verbundenen Risiken im Bereich der Weitergabe von Login-Daten und dem Einsatz unerlaubter Hilfsmittel und Kollaboration. Hier hat sich bereits viel getan, jedoch muss auch einiges ganz neu gedacht werden.

Was meinen Sie mit unerlaubten Hilfsmitteln?

Bei einer Prüfung wird im Regelfall vorab klar definiert, welche Hilfsmittel erlaubt sind und welche nicht. Dürfen eigene Unterlagen genutzt werden? Darf ein Taschenrechner eingesetzt werden und wenn ja, welcher Typ? Ist eine Kommunikation untereinander erlaubt? Darf das eigene Notebook bzw. das Internet genutzt werden? usw. In einem Hörsaal kann dies durch die Prüfungsaufsicht überwacht werden. Bei einer Online-Prüfung wird dies allerdings schon deutlich schwieriger.

Und was muss neu gedacht werden?

Abgesehen vom Anwendungsbeispiel der Online-Prüfungen gibt es unterschiedliche Fälle, in denen die Authentizitäts-Sicherheit aus Systemsicht intensiver mitbetrachtet werden muss. Denken Sie beispielsweise an einen Fernzugriff auf ein sicherheitsrelevantes System. In besonderen Anwendungsfällen wäre es beispielswese sinnvoll sicherzustellen, einen Zugriff nur gestatten, wenn die Person allein vor dem PC sitzt oder die Identität der authentifizierten Person sich im Laufe des Zugriffs nicht ändert. Derzeit gehen Systeme in der Regel davon aus, dass dies organisatorisch sichergestellt wird und die User sich um die Einhaltung der Maßnahmen bzw. ihr Umfeld kümmern. Wenn wir zurück zum Anwendungsfall der Online-Prüfung blicken, ist offensichtlich, dass diese Annahme nicht immer sinnvoll ist.

Gibt es Zahlen zu den durchschnittlichen Aufwendungen für IT-Sicherheit in Unternehmen in Österreich? Wie schätzen Sie die Lage ein: Werden ausreichende Ressourcen zur Verfügung gestellt?

2020 war beispielsweise im österreichischen KMU-Bereich der Anteil für IT-Sicherheit im IT-Budget annähernd unverändert zu den Vorjahren. Dabei stieg der Anteil auch mit der Unternehmensgröße. Der Bedarf ist hier bestimmt gestiegen und auch die Bedrohungslage ändert sich laufend. Aktuellere Zahlen zu den Investitionen in Österreich sind mir leider nicht bekannt.