Ihre Mitarbeiter gehören zu den wertvollsten Ressourcen Ihres Unternehmens, aber leider können die eigenen Anwender auch eine Ihrer größten Bedrohungen sein, wenn es um die IT-Sicherheit geht.
Von allen Bedrohungen für Ihr Unternehmen sind Ihre eigenen Anwender vielleicht die unberechenbarste. Einige tun alles dafür, Probleme zu schaffen. Aber auch andere, die es gut meinen, können dem IT-Team viel Kopfzerbrechen bereiten. Nachfolgend nennen wir 10 menschliche Schwächen, die aus Benutzern eine Gefahr für die IT-Umgebung von Unternehmen machen.
- Vergesslichkeit
Viele Benutzer vergessen regelmäßig Passwörter. Laut Gartner entfallen 20 bis 30 Prozent aller Anfragen beim IT-Servicedesk auf Passwortprobleme. Wenn Ihre Systeme regelmäßige Passwort-Resets anfordern, gefährdet auch das Ihre IT-Sicherheit, da Angreifer gefälschte Passwort-Reset-Anfragen als Angriffsstrategie nutzen können, um in Unternehmen einzudringen.
- Bequemlichkeit
Bequemlichkeit geht häufig einher mit Vergesslichkeit. Daher wählen viele Benutzer schwache Passwörter oder verwenden immer wieder das gleiche Passwort. Der Diebstahl von 68 Millionen Dropbox-Anmeldeinformationen im Jahr 2012 wurde darauf zurückgeführt, dass ein Dropbox-Mitarbeiter ein Firmenpasswort auf seinem LinkedIn-Konto verwendet hatte. Bequemlichkeit kann auch dazu führen, dass Passwörter auf Notizzetteln stehen, die am Monitor kleben.
- Zeitmangel
Auch gestresste Anwender können Ihre IT-Umgebung gefährden, weil sie vergessen, wichtige Software-Updates oder Sicherheitspatches zu installieren.
- Ungeschicklichkeit
Anwender verlieren oder beschädigen immer wieder Dinge, darunter auch Notebooks, Smartphones und Tablets. Sie lassen Geräte in Hotelzimmern zurück oder verlieren diese bei Konferenzen. Auf den Geräten befinden sich häufig sensible Unternehmensdaten, die nicht in die Hände von Wettbewerbern fallen sollten. Außerdem verlieren Mitarbeiter immer wieder ihre Unternehmensausweise, Token für die Zwei-Faktor-Authentifizierung und andere sicherheitsrelevante Dinge.
- Uneinsichtigkeit
Viele Menschen mögen es nicht, wenn ihnen gesagt wird, was sie tun sollen. Deshalb suchen sie immer nach Möglichkeiten, IT-Sicherheitsmechanismen zu umgehen. Dazu gehört die Nutzung ungesicherter persönlicher Geräte für den Umgang mit sensiblen Unternehmensdaten ebenso wie die nicht autorisierte Einrichtung von Schatten-IT-Systemen.
- Neugier
Aus Neugier tun Menschen oft dumme Dinge, die dann zu großen Problemen führen. Benutzer können ihre Zugangsrechte missbrauchen und dadurch das Risiko erhöhen, dass sensible Informationen aus Ihrer IT-Umgebung nach außen dringen.
- Naivität
Naive Benutzer fallen auf einfache Betrugsversuche wie Phishing-Malware-Angriffe herein, die als Nachrichten zu unbezahlten Rechnungen oder ausstehenden Geldbußen getarnt sind. Sie klicken auf Links, hinter denen Malware verborgen ist, oder öffnen infizierte Anhänge, wodurch die gesamte IT-Umgebung dem Risiko einer Cyber-Attacke ausgesetzt ist.
- Übereifer
Selbst erfahrene Anwender sind anfällig für komplexe Attacken, wie zum Beispiel gut getarnte Spear-Phishing-Mails, die sehr überzeugend aussehen. Gefährlich sind auch so genannte Business Email Compromise Betrugsversuche, bei denen Angreifer das Mail-System eines Unternehmens infiltrieren, um sich als leitende Angestellte auszugeben. So getarnt fordern sie andere Benutzer auf, vertrauliche Informationen preiszugeben oder Geld auf Offshore-Konten zu überweisen. Mehr als 90 Prozent der Cyberangriffe und die daraus resultierenden Datenverluste beginnen nach Angaben des Cyber-Security-Unternehmens Cofense mit Phishing-Mails.
- Gier
Benutzer, die von ihrer Gier geleitet werden, sind immer auf der Suche nach dem „schnellen Geld“ – z. B. durch Veruntreuung, den Verkauf von Geschäftsgeheimnissen oder die Preisgabe von Zugangsdaten für die IT-Umgebung. Laut einer Studie von Trend Micro würden rund 35 Prozent der Arbeitnehmer geheime Unternehmensdaten verkaufen, wenn ihnen jemand den richtigen Preis bietet.
- Verärgerung
Verärgerte Mitarbeiter sind besonders gefährlich, weil sie alles daran setzen, Probleme zu verursachen und die IT-Systeme ihrer Unternehmen zu gefährden. Ihnen geht es nicht um finanzielle Bereicherung, sondern darum, so viel Schaden wie möglich zu verursachen.