Die Gefahr von innen realistischer einschätzen

Sehr geehrter Herr Do,

Innentäter werden gefürchtet und gleichzeitig unterschätzt - mit dieser Überschrift machen wir das "zentrale Ergebnis" dieser Cybersecurity-Studie auf. Hintergrund ist die gefährlich deutliche Diskrepanz zwischen der Einschätzung der Unternehmens- und IT-Entscheider einerseits, dass Cyberangriffe aus der eigenen Belegschaft hochgefährlich sind, und andererseits der Erwartungshaltung, dass solch eine Innentäterattacke im eigenen Haus doch eher unwahrscheinlich ist. Dabei zeigen die weiteren Zahlen, dass mehr als die Hälfte derselben Unternehmen einen solchen Insiderangriff bereits durchlebt haben.

Wie also kommt es zu diesem Widerspruch? Betrachten wir zunächst einmal das Phänomen "Innentäter" - das ist fast nie der kriminelle Hacker, der sich mit einem breiten Geheimdienst-Arsenal in die Unternehmens-IT hackt - immer in der Angst, jeden Moment erwischt zu werden. Nein, es handelt sich meist um die eigenen Beschäftigten, die ohne jede böse Absicht zu Tätern werden. Sie geben beispielsweise Unternehmensdaten, Account-Informationen, manchmal Geschäftsgeheimnisse unbewusst an Unbefugte weiter, weil sie im festen Glauben sind, das Richtige zu tun. Sei es der schnell beantwortete Anruf vom vorgeblichen IT-Support, die unter Zeitdruck retournierte E-Mail vom getarnten Dienstleister oder hastig angeklickte Projektunterlagen im E-Mail-Anhang, geschickt von der gefälschten E-Mail-Adresse des Vorgesetzten.

Mittels Social Engineering gelangen Kriminelle trotz aller Security-Maßnahmen immer noch viel zu einfach und schnell an ihr Ziel, weil sie andere für sich "arbeiten" lassen, ohne dass diese davon wissen oder gar noch dafür gesondert entlohnt werden wollen. Die von ihnen als "Mittelsmänner" eingesetzten Mitarbeiterinnen und Mitarbeiter erfahren häufig erst sehr viel später oder manchmal auch nie, was sie mit ihrem Verhalten zumindest indirekt angerichtet haben. Von daher ist die Einschätzung der von uns für diese Studie Befragten, dass Insiderangriffe sehr gefährlich sind, absolut richtig. Der Glaube hingegen, dass sie im eigenen Unternehmen eher selten vorkommen, ist absolut falsch und zugleich sehr gefährlich, wenn er Unternehmen in falscher Sicherheit wiegt. Aber eben diese trügerische Sicherheit oder möglicherweise auch die Angst vor einer unbequemen Wahrheit führen dazu, dass die Meinung "Ach, bei uns doch nicht" so verbreitet und beliebt ist.

Fakt ist (und bleibt): Es kann jedes Unternehmen treffen - und sei es Security-technisch noch so "hochgerüstet". Was die menschliche Fehlerkomponente betrifft, helfen nur umfassende, regelmäßige und verpflichtende Security-Awareness-Programme - immer und immer wieder, egal wie nervtötend sie sein mögen. An die Stelle von blindem Vertrauen muss ein gesunder Realismus treten.