Längst ist das IT-System eines Unternehmens nicht mehr allein als kritische Stelle für unbefugten Zugang anzusehen. In einem Unternehmen trägt das Verhalten der Mitarbeiter vielmehr erheblich dazu bei, dass Angriffe durch schädigende Dritte gelingen. Sensibilisierung der Mitarbeiter für eine erhöhte Aufmerksamkeit bei zweifelhaften Vorgängen und die Investition in ihre Grundlagenkenntnisse können Hacker auf dem Weg zu betriebseigenen Informationen und Daten scheitern lassen. Mitarbeiter fungieren so neben den technischen Absicherungen als zusätzlicher Wächter und gelten dann als ein Anker für die Stabilität im Büronetzwerk.
Vorzeigefall für dieses Thema ist der IT-Angriff auf ein deutsches Stahlwerk durch Hacker im Jahr 2014. Dort wurden massive Beschädigungen laut Bericht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) angerichtet, die bis in die Produktionsebene reichten und diverse Anlagen und einen Hochofen lahmlegten.
Erreicht hatten dies die Hacker durch das Abschicken von bloßen Fake-Emails an die Mitarbeiter. Dadurch wurde ein unerlaubter Zugang zum Büronetzwerk und von da aus zu den Produktionsanlagen ermöglicht. „Phishing“ nennt sich dieser Vorgang, wo mit täuschend echten Inhalten in gefälschten Emails und z.B. darin enthaltenen Links oder Dateianhängen der Eindruck beim Mitarbeiter geweckt werden soll, dass es sich um einen redlichen Absender handelt. Eine andere Methode von Computerkriminellen heißt „Social Engineering“. Hier beuten Hacker Unternehmen aus, indem sie auskunftsfreudigen Mitarbeitern am Telefon z.B. vorgaukeln, dass sie Techniker seien und gewisse Zugangsdaten genannt werden müssten. Beide Maschen lehren, dass Skepsis geboten ist und zu viel Gutgläubigkeit zum Verhängnis werden kann. Es sollte dann etwa ein Gegencheck durch den Vorgesetzten oder durch Kolleginnen und Kollegen erfolgen.
Doch auch mit Skepsis sei nicht alles getan. Es gibt nach wie vor Fälle, bei denen die Abwehr eines schädlichen Computerangriffs nicht im Machtbereich der angegriffenen Personen und ihrem Verhalten liegt. Durch „Drive-by-Downloads“ werden da z.B. Lücken im Browser oder dessen Zusatzprogrammen (Plug-ins) ausgenutzt. Abhilfe kann da nur die IT-Abteilung schaffen. Sieht man weiterhin mal von den nicht fassbaren Angriffen durch Nachrichten oder Telefonate ab, so stellen USB-Sticks oder externe Festplatten ebenfalls eine Gefahr für Unternehmen dar, sofern sie Schadsoftware enthalten. In solchen Fällen sollte seitens des Unternehmens stets kommuniziert werden, dass private Geräte im betrieblichen Netzwerk nichts zu suchen haben.
Mit geschulten Mitarbeitern wird Ihr Netzwerk sicherer. Mitarbeiter, die Gefahren kennen können diese schneller erkennen oder vermeiden. Ein Plus für Ihre IT-Sicherheit und den Datenschutz!