• IT-Karriere:
  • Services:

Wir sollten nicht sagen: Mitarbeiter sind das schwächste Glied der Kette

Golem.de: Was können Unternehmen tun, um sicherer zu werden? Viele sagen, die Mitarbeiter sind das schwächste Glied in der Kette.

Stellenmarkt
  1. ZIEHL-ABEGG SE, Künzelsau
  2. awinia gmbh, Freiburg im Breisgau

Barker: Wer sagt, dass seine Mitarbeiter das schwächste Glied sind, der hat eine sehr negative Botschaft und macht alles nur noch schlimmer. Man könnte zum Beispiel sagen: Mitarbeiter werden am häufigsten gezielt angegriffen. Das ist eine bessere Botschaft, die Menschen nicht demotiviert, sondern sie auf bestimmte Probleme aufmerksam macht. Eine nur leicht veränderte Botschaft kann Mitarbeiter eher motivieren, sich mit dem Bereich IT-Security auseinanderzusetzen.

Es gibt natürlich einen weiteren Aspekt: Wenn ein Mitarbeiter auf einen Link klickt und danach das ganze Netzwerk infiziert oder schädigt, dann ist das kein menschliches Problem, sondern mangelnde Segregation. Das ist dann ein technisches Problem. Mitarbeiter sollten mehr über die technischen Hintergründe informiert werden.

Wenn man sich die menschlichen Hintergründe von IT-Security anschaut, dann hat das natürlich viel mit Psychologie zu tun. Es geht um Faktoren wie Priming oder Optimismus. Es reicht nicht, Mitarbeitern nur stumpf zu sagen, was sie alles nicht tun sollen.

Golem.de: Viele Angriffsmodelle setzen weiterhin auf die Mitarbeiter. Ein gutes Beispiel ist sicher der Bereich CEO-Fraud - also der Betrug von Unternehmen mit gefälschten internen Rechnungen, die über eine kompromittierte Infrastruktur per E-Mail versendet werden. Auch da geht es ja viel um Unternehmenskultur.

Barker: Genau. Es gibt ganz bestimmte Trigger beim Social Engineering. Angreifer werden immer versuchen, ihr Opfer in einen sogenannten Hot-State zu bekommen. Dann agieren Menschen emotionaler und treffen irrationale Entscheidungen. Diese gefälschten Mails kommen meist von jemandem mit einer vermeintlich wichtigen Position - etwa dem Chief Financial Officer (CFO). Häufig gibt es auch einen angeblichen Zeitdruck. Viele Mitarbeiter denken dann: Der Chef ist zu wichtig, um ihn jetzt zu stören und kurz einmal nachzufragen.

Manchmal sind die Mails auch extrem gezielt formuliert und suggerieren etwa, dass eine Transaktion geheim bleiben soll, weil es sich um ein vertrauliches Börsengeschäft handelt. Häufig haben Mitarbeiter auch ein gutes Bauchgefühl, das aber teilweise zu spät einsetzt. Ich habe schon häufig gehört, dass Mitarbeiter nach Ausführung einer Transaktion sicher waren, falsch gehandelt zu haben. Sobald der psychologische Druck weg ist, beginnen die Mitarbeiter zu zweifeln. Aber dann ist es natürlich zu spät.

Die psychologischen Angriffsmuster sind sehr gut - und oft besser als unsere Verteidigung. Die Kriminellen sind bessere Psychologen als wir zurzeit. Deswegen spreche ich mit Unternehmen über Psychologie und Soziologie, um sie vor Angriffen besser schützen zu können.

Golem.de: Was denken Sie über Antivirus-Programme? Sie suggerieren ja oft, dass Nutzer nichts weiter tun müssen, als sie zu installieren.

Barker: Das wäre natürlich toll, wenn das funktionieren würde. Das Problem ist, dass da oft falsche Sicherheit suggeriert wird, denn Virenscanner schützen nicht vor allen Gefahren. Das gilt sowohl auf einem individuellen Level als auch für Unternehmen.

Und dort kommt das Problem der Sunk Cost dazu. Wenn der Chief Security Officer dem CEO einer Firma sagt, dass die Sicherheitsmaßnahmen verbessert werden müssen, hört man oft: Aber wir haben doch Antivirus, wir haben all die Jahre dafür bezahlt. Das muss doch auch weiterhin funktionieren. - Das bedeutet natürlich nicht, dass Antivirus gar keinen Platz in einer Sicherheitsstrategie haben sollte, aber es löst eben nicht alle Probleme.

Golem.de: Danke für das Gespräch.

Offenlegung: Golem.de hat auf Einladung der Deepsec-Veranstalter an der Konferenz in Wien teilgenommen. Die Reisekosten wurden von den Veranstaltern übernommen. Unsere Berichterstattung ist davon nicht beeinflusst und bleibt gewohnt neutral und kritisch. Der Artikel ist, wie alle anderen auf unserem Portal, unabhängig verfasst und unterliegt keinerlei Vorgaben Dritter; diese Offenlegung dient der Transparenz.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Uns wird nicht beigebracht, Technik zu verstehen
  1.  
  2. 1
  3. 2
  4. 3


Anzeige
Hardware-Angebote
  1. 399,00€ (Bestpreis! zzgl. Versand)
  2. 555,55€ (zzgl. Versandkosten)
  3. täglich neue Deals bei Alternate.de

cry88 06. Dez 2017

Natürlich hilft dir eine gute Ausbildung, das erlehnte Wissen auch unter Stress...

EQuatschBob 05. Dez 2017

Falls nicht, wo gibt es das Original? TIA!

HANKHPB 01. Dez 2017

Das trifft es nicht ganz: im Gegensatz zu "enable", welches bedeutet, physisch oder...

teachcor 01. Dez 2017

Der Umgang mit Computern (Smartphones gehören auch dazu) ist heute eine Kulturtechnik...

teachcor 01. Dez 2017

Was die Psychologie betrifft, da hat sie recht. IT-Fachleute sind meistens nicht in der...


Folgen Sie uns
       


Golem-Akademie - Trainer Florian stellt sich vor

Vom Junior-Projektleiter zum IT-Director konnte Florian Schader sämtliche Facetten der IT-Welt gestalten und hat eine Leidenschaft entwickelt, diese Erfahrungen weiterzugeben. Seine Grundmotivation ist die aktive Weitergabe seiner 20-jährigen Projekt- und Leitungserfahrung im IT-Umfeld, der Erfolg von Projekten und die aktive Weiterentwicklung von Menschen. Dabei stellt er immer den Bezug zur Praxis her. Als Trainer und Coach ist er spezialisiert auf Projektmanagement und Führungskräfteentwicklung.

Golem-Akademie - Trainer Florian stellt sich vor Video aufrufen
Videospiellokalisierung: Lost in Translation
Videospiellokalisierung
Lost in Translation

Damit Videospiele in möglichst viele Länder verkauft werden können, müssen sie übersetzt beziehungsweise lokalisiert werden. Ein kniffliger Job, denn die Textdatei eines Games hat oft auf den ersten Blick keine logische Struktur - dafür aber Hunderte Seiten.
Von Nadine Emmerich

  1. Spielebranche Entwickler können bis 2023 mit Millionenförderung rechnen
  2. Planet Zoo im Test Tierische Tüftelei
  3. Förderung Spielentwickler sollen 2020 nur einen "Ausgaberest" bekommen

Fritzbox mit Docsis 3.1 in der Praxis: Hurra, wir haben Gigabit!
Fritzbox mit Docsis 3.1 in der Praxis
Hurra, wir haben Gigabit!

Die Fritzbox 6591 Cable für den Einsatz in Gigabit-Kabelnetzen ist seit Mai im Handel erhältlich. Wir haben getestet, wie schnell Vodafone mit Docsis 3.1 tatsächlich Daten überträgt und ob sich der Umstieg auf einen schnellen Router lohnt.
Ein Praxistest von Friedhelm Greis

  1. Kabelnetz Ausgaben für Docsis 3.1 nicht sehr hoch
  2. Nodesplits Vodafone bietet 500 MBit/s für 20 Millionen Haushalte
  3. Sercomm Kabelmodem für bis zu 2,5 GBit/s vorgestellt

Neuer Streamingdienst von Disney: Disney+ ist stark bei Filmen und schwach bei Serien
Neuer Streamingdienst von Disney
Disney+ ist stark bei Filmen und schwach bei Serien

Das Hollywoodstudio Disney ist in den Markt für Videostreamingabos eingestiegen. In den USA hat es beim Start von Disney+ technische Probleme gegeben. Mit Blick auf inhaltliche Vielfalt kann der Dienst weder mit Netflix noch mit Amazon Prime Video mithalten.
Von Ingo Pakalski

  1. Videostreaming im Abo Disney+ hat 10 Millionen Abonnenten
  2. Disney+ Disney bringt seinen Streaming-Dienst auf Fire-TV-Geräte
  3. Streaming Disney+ startet am 31. März 2020 in Deutschland

    •  /