Mit Blick auf die Gefährdungslage der IT-Sicherheit ist für die letzten Jahre sowohl im privaten als auch im betrieblichen Umfeld ein stetiger Anstieg von Bedrohungsszenarien zu verzeichnen. Auch wenn Angreifer für Cyberangriffe zunehmend auf Schadprogramme zurückgreifen, kann durch den alleinigen Einsatz von Antiviren-Softwares kein umfassender Schutz gewährleistet werden. Zunehmend wird der Nutzer zur entscheidenden Sicherheitsbarriere. Hierbei ergeben sich sowohl Chancen als auch Risiken.
DER NUTZER ALS SICHERHEITSRISIKO?
Seit Beginn der Covid-19-Pandemie und der damit einhergehenden Dezentralisierung der betrieblichen IT-Infrastrukturen durch die Verlagerung der Arbeitstätigkeiten ins „Homeoffice“ ergeben sich für Cyberkriminelle zunehmend neue Angriffsmöglichkeiten. An dieser Stelle besonders hervorzuheben ist das sogenannte „Social Engineering“, welches nach wie vor eines der beliebtesten Werkzeuge zur Verwirklichung krimineller Absichten darstellt. Zudem zielt es auf das vermeintlich schwächste Glied in der IT-Sicherheit ab: den Nutzer.
Dem „Faktor Mensch“ sind im Rahmen der IT-Sicherheit zwei wesentliche Aufgaben zuzuschreiben: Einerseits proaktiv mögliche Bedrohungslagen und potenzielle Gefährdungen für die IT-Sicherheit zu erkennen und andererseits reaktiv auf derartige Ereignisse angemessen zu reagieren, um bereits eingetretene Schäden zu minimieren. Besonders entscheidend ist an dieser Stelle das Bewusstsein der Nutzer über sowie die Einhaltung von definierten internen Meldeprozessen im Hinblick auf die gesetzlichen Melde- und Benachrichtigungspflichten, beispielsweise gemäß Art. 33 und Art. 34 Datenschutz-Grundverordnung (DS-GVO).
Unterstützung können hierbei etwaige Sicherheitsrichtlinien, Anweisungen oder verschriftlichte Prozesse schaffen, welche sowohl das Verständnis als auch die Sensibilität hinsichtlich (potenzieller) Bedrohungslagen fördern. Darüber hinaus ist darauf zu achten, dass getroffene Vorkehrungen und Regelungen auf ein gewisses Maß an Akzeptanz seitens der Nutzer stoßen.
SENSIBILISIERUNG IST DER SCHLÜSSEL
Ein wesentliches Element stellt hierbei die Sensibilisierung einzelner Nutzer und Nutzergruppen dar. Dies geht beispielsweise auch aus dem Baustein „ORP.3: Sensibilisierung und Schulung zur Informationssicherheit“ des BSI IT-Grundschutzes hervor. Bereits im Rahmen des Onboardings ist sicherzustellen, dass die Nutzer mit den grundlegenden Anforderungen und Richtlinien vertraut gemacht werden. Ergänzend hierzu sollten zeitnah weitere Sensibilisierungsmaßnahmen durchgeführt werden, um die Thematik gegenwärtig und präsent zu halten. Im weiteren Verlaufe können zu aktuellen oder besonders sensiblen Schwerpunkten weitere Maßnahmen ergriffen werden.
Von entscheidender Bedeutung ist es dabei, ein gutes Maß an Sensibilisierungsmaßnahmen zu finden. Während eine unzureichende Sensibilisierung die Wirksamkeit der übrigen getroffenen technischen und organisatorischen Maßnahmen erheblich abschwächt, kann eine Übersensibilisierung aufgrund der Informationsfülle ebenfalls zu einer Abschwächung des Schutzniveaus führen. Abhilfe kann insbesondere ein Sensibilisierungskonzept schaffen, welches dabei insbesondere aktuelle Bedrohungsszenarien und die spezifischen Anforderungen der jeweiligen Organisation berücksichtigt. Mittels eines solchen Konzeptes lässt sich zudem unter Zuweisung von Verantwortlichkeiten ein zeitlich und inhaltlich koordiniertes Awareness-Management dokumentiert nachweisen.
Zu berücksichtigen ist in jedem Falle, dass es auch mit einer einmaligen Durchführung von Sensibilisierungsmaßnahmen nicht getan ist, sondern diese regelmäßig wiederholt werden sollten. Die stetige Berücksichtigung aktueller Bedrohungsszenarien und Angriffsmodelle vermeidet dabei repetitive Inhalte.
Eine umfassende Darstellung der sich ergebenden Sicherheitsrisiken sowie Umsetzungsmöglichkeiten für Sensibilisierungsmaßnahmen können Sie unserem Beitrag „Die menschliche Firewall – Der Nutzer als Sicherheitsrisiko?“ entnehmen, welcher in der Ausgabe Nr. 06/2021 des DATENSCHUTZ-BERATER erschienen ist. Den Beitrag können Sie in der digitalen Fassung hier abrufen.
Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.