Sicherheitsrisiko Mitarbeiter: Unterschätzte Gefahr durch „Hired Hackers“ Mobilgeräte der Benutzer sind die größte Gefahrenquelle

17. Juli 2015

Passwortdiebstahl, Hackerangriffe, Malware – Geht es um Sicherheit und Datenschutz in Unternehmen, scheinen die größten Gefahren stets von Dritten auszugehen. Dabei wird jedoch häufig die Tatsache übersehen, dass erhebliche Sicherheitsrisiken auch aufgrund interner Faktoren drohen. Während Unternehmen regelmäßig hohe Summen in den Schutz ihrer IT-Infrastruktur investieren, um sich vor Angriffen von außen abzusichern, lassen viele das Problem der inneren Sicherheit völlig außer Acht.

Ausgangslage

Stellt sich die Frage nach Datenschutz und Datensicherheit in Unternehmen, sind die Bedrohungen meist schnell ausgemacht: Die bösen Angreifer kommen von außen. Doch bei genauerem Hinsehen wird schnell klar: Über die mögliche Anwendung schadhafter Software hinaus wird vor allem das Fehlverhalten von Mitarbeitern zu einem immer größeren Problem. Denn im Zeitalter des mobilen Internets nutzen Angestellte Smartphones, Tablets und Co. häufig nicht nur privat, sondern auch geschäftlich.

Ob es nun die eigenen Endgeräte sind oder firmeneigene Hardware, oftmals werden unternehmensinterne Sicherheitsrichtlinien unbewusst, aber auch bewusst umgangen. Laut einer aktuellen Studie des Marktforschungsunternehmens OnePoll wissen rund 47 Prozent der Mitarbeiter in deutschen Unternehmen nicht, ob ihr Arbeitgeber Sicherheitsbestimmungen bezüglich der Nutzung von mobilen Geräten vorschreibt bzw. kennen den Inhalt vorhandener Richtlinien nicht. Gut 29 Prozent verwenden ihre privaten Geräte ebenso für Arbeitszwecke, ohne zu wissen, ob sie überhaupt dazu befugt sind.

Gefahrenquelle Mobile Security

Alexander Krist, IT-Sicherheitsexperte der circular Informationssysteme GmbH, Quelle: circular

Was in Unternehmen häufig ignoriert wird, sind mögliche Konsequenzen, die sich aus dem unbefugten Einsatz mobiler Geräte für die geschäftliche IT-Infrastruktur bzw. die Datensicherheit ergeben können. Ein Beispiel ist etwa das unüberlegte und unautorisierte Installieren von Apps auf firmeneigenen Endgeräten. Oftmals ist Nutzern nicht bekannt, auf welche Funktionen das fragliche Programm zugreifen kann.

So rufen einige Apps ohne Wissen des Anwenders dessen Kontakte, gespeicherte Dateien oder seinen Standort ab. Auf diese Weise wird unbemerkt Fremdzugriff auf das Firmennetzwerk ermöglicht. Ähnliche Szenarien ergeben sich für private Endgeräte, auf denen sich meistens schon eine Vielzahl heruntergeladener Apps befindet. Wer diese Geräte für geschäftliche Zwecke nutzt, kann nicht sicher sein, dass seine Daten nicht von Dritten mitgelesen werden. Dies ist aber nur eines von vielen Sicherheitsrisiken. Weitere Bedrohungen ergeben sich zudem durch die unerlaubte Nutzung von öffentlichen Cloud- und Sharing-Programmen.

Sogenannte „Hired Hackers“ werden der OnePoll-Studie zufolge immer mehr zu einem erheblichen Sicherheitsrisiko. Dabei handelt es sich um technisch versierte Mitarbeiter, die des Öfteren zum Smartphone oder Tablet greifen, um sich die Arbeit zu erleichtern. Meist kennen sie firmeninterne Sicherheitsbestimmungen und wissen diese geschickt zu umgehen. Unternehmen sollten dahingehend Maßnahmen ergreifen, um mögliche Risiken auszuschalten. Tun sie das nicht, drohen nach Inkrafttreten der neuen EU-Datenschutzverordnung zukünftig horrende Geldstrafen bei Verstößen gegen geltende Sicherheitsrichtlinien.

Alexander Krist, IT-Sicherheitsexperte der circular Informationssysteme GmbH, erklärt in diesem Zusammenhang: „Am wichtigsten ist, die Mitarbeiter im Hinblick auf einen verantwortungsvollen Umgang mit sensiblen Firmendaten zu schulen – und zwar kontinuierlich. Unternehmen müssen aufklären und ihre Angestellten mit den IT-Sicherheitsvorgaben vertraut machen.“ Das betrifft nicht nur den Umgang mit firmeneigenen Endgeräten, sondern auch die Nutzung von privaten Geräten in Verbindung mit geschäftlichen Applikationen sowie den Gebrauch von externen Speichermedien wie etwa USB-Sticks. (rhh)

Checkliste

Die folgenden Aspekte sollten im Unternehmen berücksichtigt werden:

Aufklärung der Belegschaft zu den Sicherheitsbestimmungen bezüglich der Nutzung von mobilen Endgeräten im Unternehmen: Wer darf wann und womit auf welche Informationen zugreifen?

Schulung der Mitarbeiter zum richtigen und sicheren Umgang mit sensiblen Firmendaten: Dürfen Angestellte auch mit ihren eigenen mobilen Endgeräten auf Geschäftsanwendungen zugreifen?

Informieren der Mitarbeiter hinsichtlich einer fehlerfreien Verwendung ihrer Passwörter: Trennung von privaten und geschäftlichen Kennwörtern.

Installation von Schutzsoftware: Verhindert unbefugten Zugriff von Dritten und legt Backup vorhandener Daten an.

Herunterladen und Installieren von vertrauenswürdigen Applikationen: Apps, die nicht überprüft wurden, sind möglicherweise ein Risiko für mobile Endgeräte sowie sensible Geschäftsdaten.

Regelmäßiges Update aller Applikationen: Schützt vor möglichen Sicherheitslücken.

Ausschalten von Ortungsdiensten auf Smartphone, IPad & Co.: Zugriff auf die Ortungsfunktion könnte ein weiterer Angriffspunkt sein.

Lesen Sie auch