Der wichtigste – und oft größte – Schwachpunkt in der IT-Sicherheit und im Datenschutz ist der Mensch. Aus diesem Grund müssen Konzepte sowie Technische und Organisatorische Maßnahmen (TOMs) stets den Faktor Mensch berücksichtigen, um Compliance sicherzustellen und die praktische Wirksamkeit zu gewährleisten.
Im Folgenden analysieren wir typische menschliche Schwachstellen und leiten daraus konkrete Vermeidungsstrategien ab.
1. Mensch als zentrales Risiko: Shoulder Surfing und unbefugte Einblicke
Definition: Shoulder Surfing beschreibt das Ausspähen sensibler Informationen (Passwörter, Dokumenteninhalte, etc.) oder auch personenbezogener Daten generell, indem man Personen über die Schulter blickt – sei es im Zug, im Café oder am ungesicherten Büroarbeitsplatz.
Gefahrenabwehr (TOMs):
- Technische Vorkehrungen: Implementierung von Blickschutzfiltern (Privacy Filter) auf mobilen Geräten und Monitoren.
- Prozessuale Vorgaben: Bildschirme sind beim Verlassen des Arbeitsplatzes umgehend zu sperren.
- Verhalten im öffentlichen Raum: Vertrauliche Telefonate sind an öffentlichen Plätzen zu vermeiden.
2. OSINT: Gefahr durch berufliche Netzwerke (LinkedIn & Co.)
Risiko: Open Source Intelligence (OSINT) ist die Gewinnung von Informationen aus frei zugänglichen Quellen. Angreifer nutzen diese Daten aus sozialen Netzwerken, um hochgradig glaubwürdige Social-Engineering-Angriffe (z. B. Phishing) vorzubereiten. Die leichtfertige Preisgabe interner Positionen oder Projektdetails erhöht das Angriffsrisiko signifikant.
Gefahrenabwehr (TOMs):
- Interne Richtlinien: Festlegung klarer Vorgaben für die Nutzung beruflicher und privater sozialer Netzwerke, die den Umfang freigegebener Unternehmens- und Positionsdetails regeln.
- Sensibilisierungsschulungen: Regelmäßige Schulungen der Mitarbeiter zur Erkennung von Social-Engineering-Methoden und zur Wichtigkeit eines sparsamen Umgangs mit Informationen in der Öffentlichkeit.
3. Die Post-it-Falle: Ungesicherte Passwörter
Risiko: Das Notieren von Passwörtern auf Zetteln, Post-its oder unter der Tastatur ist ein klassisches Compliance-Risiko und widerspricht grundlegenden Sicherheitsstandards. Jeder, der physischen Zugang zum Arbeitsplatz hat, erhält dadurch Vollzugriff auf das System.
Vermeidung (TOMs):
- Technologie-Einsatz: Die Nutzung eines zentral verwalteten, sicheren Passwort-Managers ist verbindlich festzulegen.
- Multi-Faktor-Authentifizierung (MFA): Einführung von MFA-Lösungen (z. B. Hardware-Token wie YubiKey), die eine zusätzliche Sicherheitsebene schaffen und die Abhängigkeit von Passwörtern verringern.
- Mnemotechniken: Die Notwendigkeit sich Passwörter auf Zettel zu schreiben kann durch das Schulen in Mnemotechniken entfallen
- Kontrolle: Die TOMs müssen regelmäßige, unangekündigte Kontrollen der Arbeitsplätze zur Einhaltung dieser Vorgaben verankern.
4. Schatten-IT: Unautorisierte Systeme als Einfallstor
Risiko: Schatten-IT umfasst Hard- und Software, die von Mitarbeitern ohne Autorisierung der IT-Abteilung genutzt wird. Dies führt oft zu einem Mangel an Sicherheits- und Datenschutzkonformität da nicht die gleichen Sicherheitsstandards genutzt werden. Vor allem bei Software ist dies Problematisch. Oft kann von den Mitarbeitenden nicht eingeschätzt oder getestet werden, ob eine Software eine Gefahr darstellt. Bei Hardware besteht z.B. die Gefahr von Supply-Chain-Attacken, bei denen Angreifer Schafsoftware über manipulierte Geräte einschleusen. Z.B. gibt es täuschend echt aussehende USB-Kabel welche aber mit einem versteckten Chip mit Schadsoftware ausgestattet sind.
Aktuelles Risiko: Aktuell kritisch ist die unkontrollierte Nutzung von KI-Systemen wie ChatGPT oder Copilot. Solchen Tools können schnell unbeabsichtigt vertrauliche Daten preisgegeben werden.
Vermeidung (TOMs):
- Prävention durch Prozesse: Etablierung schneller und effizienter Prozesse in der IT. Schnelle Bereitstellung legaler und sicherer Tools verhindert die Notwendigkeit, auf unautorisierte Alternativen auszuweichen.
- Least Privilege: Mitarbeiter sollten keine lokalen Administratorrechte besitzen, die die Installation nicht genehmigter Software oder die Veränderung von Systemen erlauben.
- Quellenkontrolle: Die TOMs müssen vorschreiben, dass Hardware und Software ausschließlich über geprüfte und vertrauenswürdige Beschaffungskanäle bezogen werden.
Fazit: Der Mensch als zentrales Risiko und wie Unternehmen ihn absichern
IT-Sicherheit und Datenschutz sind untrennbar mit der Mitarbeiterkompetenz verbunden. Durch die konsequente Etablierung und Durchsetzung von Technischen und Organisatorischen Maßnahmen (TOMs), die den menschlichen Faktor adressieren, können Unternehmen die größten Sicherheitslücken schließen. Die Pflicht zur Schulung und zur Sicherstellung der Kompetenz wird durch neue Rechtsnormen, wie die KI-Verordnung, zusätzlich bekräftigt und macht eine kontinuierliche Sensibilisierung zur unverzichtbaren Grundlage der Corporate Compliance.
| Mit PLANIT // PRIMA ist Ihre Dokumentation immer auf dem aktuellen Stand. Jetzt Beratungsgespräch vereinbaren! |
