Der Hacker in meinem Unternehmen
Die Berater von Deloitte haben eine Studie vorgelegt, der zufolge im vergangenen Jahr die Häufigkeit erfolgreicher interner Angriffe auf die Computersysteme der weltgrößten Finanzinstitute rasanter zunahm als die externen Angriffe. 35 Prozent der befragten Sicherheitsmanager der 100 größten Banken bestätigten Angriffe von innen. Im Vorjahr hatten auf diese Frage nur 14 Prozent mit Ja geantwortet. Dieser rasante Anstieg stelle die Institute “vor neue, nun weniger technisch geprägte Herausforderungen”. Wie wahr!
Mitarbeiter wissen in der Regel viel mehr über die internen Sicherheitssysteme und können sie daher eher überlisten. Auch die Passworte von Kollegen lassen sich leichter ausspähen als von Fremden. Außerdem wissen Mitarbeiter häufig, wo sensible Daten gespeichert sind und brauchen daher nicht lange danach zu suchen. Mit neuen Herausforderungen nicht technischer Natur meint Deloitte wahrscheinlich klare Sicherheits- und Verhaltensmaßregeln für Mitarbeiter sowie Sanktionen, um sie durchzusetzen. Aber reicht das? Müsste in den betroffenen Unternehmen nicht gefragt werden, wieso die Angriffe von innen so stark zugenommen haben?
Eine Antwort - wohlgemerkt eine, nicht die einzige - könnte lauten, dass Mitarbeiter deshalb vermehrt ihre Arbeitgeber auszunehmen versuchen, weil sie sich schlecht behandelt fühlen. Tatsache ist, dass die Loyalität zwischen Mitarbeitern und Unternehmen in den letzten Jahren aufgrund erfolgter oder drohender Entlassungen stark nachgelassen hat. Gleichzeitig hören Unternehmerverbände nicht auf, über zu hohe Löhne, zu hohe Lohnnebenkosten und unflexible Arbeitnehmer am Standort Deutschland zu klagen. Bei derart geringer Wertschätzung, die Mitarbeitern häufig entgegengebracht wird, darf es eigentlich nicht verwundern, wenn einige Angestellten in die Kasse greifen oder ihren Arbeitgeber durch Ausspähen und Stehlen von Daten schädigen.
Das heißt nicht, dass Unternehmen ihre Mitarbeiter auf Händen tragen müssen oder keine Entlassungen mehr vornehmen dürfen, wenn sie Diebstahl von realen oder virtuellen Gütern vorbeugen wollen. Aber Unternehmen, die neben strengeren Sicherheitsregeln und besserer Kontrolle auch in die Zufriedenheit und Motivation ihrer Mitarbeiter investieren, dürften besser gefeit sein gegen Schäden durch Angestellte als solche, die nur in Überwachung investieren.
Am 1. Juli 2005 um 13:05 Uhr
Angriffe von innen muss man meiner Meinung nach von zwei Seiten aus betrachten: geplant und ungeplant. Gegen beide sollte sich ein Unternehmen schützen. Bei geplanten Angriffen werden Daten geklaut oder Viren, Trojaner Würmer etc. eingeschleppt, um dem Unternehmen zu schaden oder sich selbst einen Vorteil zu verschaffen. Bei der ungeplanten Variante schließt der Mitarbeiter seinen USB-Stick, iPod, Kamera oder Handy an den Computer an und infiziert – ohne es zu wissen – das Firmennetzwerk mit Schädlingen, die sich auf seinem privaten Gerät befinden.
Tatsache ist, eine Policy, die den Gebrauch externer Speichermedien regelt, fehlt in den meisten Unternehmen. Gegen Angriffe vom Außen wird hingegen immens viel Geld gesteckt. Ich meine, diese Vorgehensweise ist in etwa so logisch, so als ob man sein Auto abschließt, in die Garage stellt, die Alarmanlage und die Wegfahrsperre aktiviert und dann die Schlüssel an einen Haken an die Tür hängt.
Im Unternehmen muss eine Policy erstellt werden. Hier wird festgelegt wer was mit welchem Gerät machen darf! Bezogen auf User, Usergroups oder auf die Einträge im Active Directory. Mit einer Software, die das im Unternehmen umsetzt, muss der Mitarbeiter nicht befürchten überwacht zu werden und der Arbeitgeber verliert die Angst vorm Angestellten.