Oft reicht schon ein falscher Klick aus, um eine für Mitarbeitende unvorhersehbare Kette an Ereignissen auszulösen. Am Ende steht dann z. B. der Abfluss von Geschäftsgeheimissen oder die Verschlüsselung aller Unternehmensdaten. Inzwischen schulen, informieren und sensibilisieren fast alle Unternehmen regelmäßig ihr Personal. Aber warum passiert dann trotzdem noch so viel in der Praxis?
Praxis schlägt Theorie.
Schulungen sind ein wichtiger Teil der Sicherheitsmaßnahmen. Im Alltag trifft dabei theoretisches Wissen auf die Praxis. Sicherheitsmaßnahmen werden als zusätzliche Belastung empfunden. Mehr noch, sie halten einfach auf. „Irgendwann muss ich auch noch etwas arbeiten.“ – so oder so ähnlich lauten dann die Aussagen, mit denen wir als Berater konfrontiert werden. Sie verdeutlichen, dass Mitarbeitende im Alltag eine Abwägung zwischen Sicherheit und Produktivität treffen. Je mehr eine Sicherheitsmaßnahme die Produktivität einschränkt, und je einfacher diese zu umgehen ist, desto eher wählen Mitarbeitende eine Abkürzung. In dieser oft unterbewusst getroffenen Entscheidung spielt Stress eine wesentliche Rolle. Alle möchten am Ende des Tages ihre Arbeit erledigen. Unter diesem Druck fehlt die Zeit, um sich nochmal an die Inhalte des Sicherheitstrainings zu erinnern, einen Schritt von der eigentlichen Arbeit zurückzutreten und darüber nachzudenken, ob alltägliche Aktivitäten tatsächlich den Sicherheitsvorgaben entsprechen. In diesem Moment wird fast immer eine Entscheidung zugunsten der Produktivität getroffen.
Ich wollte doch nur helfen.
In vielen Situationen betreffen sicherheitsrelevante Vorfälle aber nicht nur unsere eigene Arbeit, sondern lassen sich auf Kolleginnen und Kollegen zurückführen. Durch unsere Zusammenarbeit entwickeln wir Verbundenheit und unterstützen uns gegenseitig bei der Arbeit.
Zum Beispiel fragt eine Kollegin: „Kannst Du mir bitte eben mal die Daten schicken?“ Das Datenpaket ist aber leider zu groß, um per E-Mail verschickt zu werden. Daher legt der Mitarbeitende die Daten auf ein Netzlaufwerk ab. Die Kollegin bedankt sich, kann weiterarbeiten und vergisst aber leider, die Daten auf dem Laufwerk zu löschen, auf das alle Mitarbeitenden Zugriff haben. So oder ähnlich beginnen eine Reihe von Sicherheits- und Datenschutzverstößen. Sie denken, das ist eher der Einzelfall? Als Berater begegnen mir viele dieser sicherheitsrelevanten Ablageorte, auf denen munter Daten verschoben und ausgetauscht werden. Im Extremfall können sich so Terrabyte von Daten anhäufen, über die das Unternehmen keine Kontrolle mehr hat. Auslöser ist in diesen Fällen der Wunsch, unseren Kolleginnen und Kollegen helfen zu wollen und in der Gemeinschaft anerkannt zu sein. Der gute Gedanke der Hilfsbereitschaft ist ein wahrer Nährboden für Unachtsamkeiten und Sicherheitsverstöße, die aber meist unbeabsichtigt begangen werden – und zwar bei dem Bestreben der Mitarbeitenden, ihren Job bestmöglich auszuüben.
Die Methoden der Hacker.
Seit Jahren versuchen Unternehmen die IT-Sicherheit mit immer weiteren technischen Maßnahmen aufzurüsten, um sich gegen Cyberangriffe zu schützen. Leider ist ein vollständiger Schutz über Technik weiterhin nicht abbildbar. Angriffsmethoden ändern sich täglich, Sicherheitslücken in Systemen oder in der Software wird es auch künftig geben. Daher kommt allen Mitarbeitenden auch weiterhin eine bedeutende Rolle zu. Hacker setzen bei ihren Angriffen in den seltensten Fällen rein auf Technik. Zusätzlich versuchen die Angreifer tiefgreifende Reflexe der Menschen, wie zum Beispiel Angst, Neugier und auch Hilfsbereitschaft, auszunutzen. Dass Mitarbeitende Sicherheitsmaßnahmen, wie oben beschrieben, regelmäßig umgehen, wird von ihnen einkalkuliert und ausgenutzt. Dabei reicht eine Person aus, die sich nicht an die Sicherheitsregeln hält oder unvorsichtig handelt. Genau auf diese Umgehung der Sicherheitsprotokolle setzen Hacker. Das geringere Sicherheitsniveau im Homeoffice ist ein weiteres Einfallstor für Angreifer. Der Schaden weitet sich dann auf das gesamte Unternehmen aus.
Laut einer Studie von Clay Posey, Professor für Informatik an der Brigham-Young-Universität, und Mindy Shoss, Professorin für Psychologie an der Universität von Zentralflorida, werden Sicherheitsverstöße von Mitarbeitenden durchaus bewusst begangen. Allerdings nicht mit dem Ziel, dem Unternehmen böswillig zu schaden, sondern ausgelöst durch Stress und vor dem Hintergrund „voranzukommen“ oder anderen „schnell mal zu helfen“. Im Kontext gegenseitige Hilfe und Gruppenzugehörigkeit werden entsprechende Sicherheitsverstöße auch nur in den seltensten Fällen erkannt oder verfolgt. Dadurch kann eine Kultur der Umgehung von Sicherheitsvorschriften entstehen. Macht doch jeder, oder?
Was sollten Unternehmen und Mitarbeitende ändern?
Führungskräfte sollten zunächst einmal damit aufhören, Mitarbeitenden Ignoranz oder Absicht zu unterstellen. Sie sollten vielmehr einen Austausch anregen, wie Sicherheit und Produktivität zusammenpassen können. Ausgangspunkt ist die Frage, wie ein Unternehmen damit umgeht, wenn die Balance, zum Beispiel aufgrund eines hohen Arbeitspensums, zu kippen droht. Führungskräfte müssen verstehen, dass Stress sich nicht nur auf die Produktivität, sondern auch auf die Sicherheit auswirkt.
Auch IT-Abteilungen sollten zunehmend berücksichtigen, welche Auswirkungen umgesetzte Schutzmaßnahmen auf die Mitarbeitenden haben. Stand heute werden IT-Sicherheitssysteme eher gegen – und nicht für – Fachabteilungen entwickelt. Ziel muss es aber sein, die Menschen mehr in die Prozesse zu integrieren, die nachher täglich mit dem System arbeiten sollen.
Am wichtigsten ist, dass wir alle die Zusammenhänge verstehen und diese verinnerlichen. Ein jährliches Standardtraining für alle Mitarbeitenden ist dabei genauso wenig hilfreich wie Schulungsteilnehmer, die ihre Zeit nur absitzen. Es geht vielmehr darum zu verstehen, wie und warum wir alle im Arbeitsalltag gefährdet sind, geltende Sicherheitsmaßnahmen bewusst oder unbewusst zu umgehen. Nur dann lassen sich verheerende Folgen, wie wir sie täglich in der Presse lesen, langfristig und nachhaltig vermeiden.
