Zum Inhalt springen
Mitarbeiter: schwächstes Glied oder beste Verteidigung?, iDiscovery Solutions Blog, Malware, Cybersicherheit, Cyber, Sicherheit, Sicherheitsteam, Phishing, Social Engineering

Wir hören diese gängige Weisheit ziemlich oft: „Mitarbeiter sind das ‚schwächste Glied‘ in der Cyber-Abwehrkette.“ Wir verstehen, warum wir es sagen. Verdammt, wir haben uns schuldig gemacht, es selbst gesagt zu haben.

Und die Fakten scheinen es zu bestätigen. Entsprechend den Cost of Cybercrime-Bericht 2017 des Ponemon Institute, „69 Prozent der Unternehmen erlebten 2017 Phishing- und Social-Engineering“-Angriffe, nur ein Prozent weniger als 2016.

Phishing, Social Engineering und Insider-Angriffe kosten US-Unternehmen jeweils durchschnittlich 1 TP3T2,7 Mio. und übersteigen damit die Kosten für Malware (1 TP3T2,4 Mio.) und Denial-of-Service (1 TP3T1,6 Mio.). Angesichts der Verbreitung und der Kosten von Angriffen, die sich auf Mitarbeiter konzentrieren, ist es verständlich, warum wir der Meinung sind, dass unsere Mitarbeiter das schwache Glied sind.

Warum Worte wichtig sind

Wenn wir uns erlauben, diese Denkweise anzunehmen, bei der Mitarbeiter „Risiken“ sind, die „gemildert“ werden müssen, schaffen wir leider eine feindliche Beziehung zwischen uns und unserer Gemeinschaft, während wir gleichzeitig eine der besten Chancen verwerfen, die wir haben, um uns zu verteidigen.

Man könnte sagen, dass wir nur über Semantik streiten, dass wir wirklich dasselbe sagen und nur unterschiedliche Wörter verwenden. Wir geben es zu, es sind nur Worte, aber wir glauben, dass Worte wichtig sind. Sie sind wichtig, weil Worte die Grundlage für unsere Geisteshaltung und unsere Interaktion mit der Welt bilden. Nicht nur das, sie verbreiten auch in die Welt, was und wie wir denken.

Die Worte, die wir verwenden, projizieren unsere Einstellung, und diese Einstellung kann anregen und motivieren, oder sie kann entfremden und demoralisieren. Nehmen Sie einen hypothetischen Mitarbeiter – Joe aus der Buchhaltung. Er ist ein vorbildlicher Angestellter; ernsthaft, ehrlich und fleißig. Er ist ein großartiger Buchhalter, aber er ist nicht so gut im Umgang mit Technologie, was in Ordnung ist, denn es ist nicht seine Aufgabe, großartig im Umgang mit Technologie zu sein.

Joe ist ein Hauptziel für Phishing und Kompromittierung geschäftlicher E-Mails. Wir können Joe als ein Risiko betrachten, das gemindert werden muss, was vernünftig und angemessen klingt. Aber wenn wir denken, dass Joe selbst das Problem ist, wird unsere verbale und nonverbale Kommunikation mit ihm und seinen Kollegen dies vermitteln.

Am Ende werden wir Joes Herz verlieren und wahrscheinlich auch die Herzen seiner Kollegen. Die Community wird einen schlechten Geschmack für das Sicherheitsteam entwickeln und denken, dass wir herablassend und übermäßig beeindruckt von unserer eigenen Bedeutung sind und dass wir alle anderen als „das Problem“ ansehen.

Betrachten Sie Mitarbeiter als Partner

Aber was wäre, wenn wir Joe und seine Kollegen nicht als Problem, sondern als Partner ansprechen würden? Dies ermöglicht uns nicht nur, das unmittelbare Risiko zu mindern, was real ist, sondern gibt uns auch die Möglichkeit, einen Kraftmultiplikator zu schaffen. Unsere Mitarbeiter als unsere beste Chance zur Schaffung einer sicheren Umgebung zu betrachten, erzwingt eine Änderung der gesamten Sicherheitslandschaft des Unternehmens.

Auf einer bestimmten Ebene wird jeder ein Mitglied des Sicherheitsteams. Jeder stellt Fragen und ist sich des Risikos bewusst. Verdächtige E-Mails werden als bösartig und nicht als harmlos angesehen, Computer werden gesperrt, wenn Mitarbeiter ihren Schreibtisch verlassen, und Ausweise werden geklaut, wenn sie sichere Bereiche betreten.

Eine der besten Sicherheitsfragen, die uns je gestellt wurden, kam vom Polizeichef von Fairfax County, Virginia. Er fragte unsere Absolventengruppe: „Wer sorgt für Recht und Ordnung in Fairfax County?“ Stellen Sie sich nun einen Raum voller Cyber- und Politikfreaks vor, die auf diese Frage antworten. Das Gespräch war dynamisch und enthusiastisch, und unsere Antworten waren überall auf der Karte.

Als niemand eine angemessene Antwort gab, sagte er zu uns: „Das tun Sie. Jeder von Ihnen, wenn Sie morgens aufstehen und an unserer Gemeinschaft teilnehmen. Ich bin wegen der Ausnahmen hier; Sie sind für Recht und Ordnung im Alltag verantwortlich.“

Er sagte uns, dass jeder von uns Mitglied seines Sicherheitsteams sei. Dass wir alle für die Sicherheit unserer Umwelt verantwortlich sind. Dass wir durch das Abschließen unserer Häuser und Autos an der Sicherung der Gemeinschaft teilnehmen. Indem wir wachsam sind und Gefahren erkennen, bevor sie zuschlagen, tragen wir zur Sicherung unserer Gemeinschaft bei.

Eine Änderung der Denkweise ist erforderlich

Wir glauben, dass dies auch im Cyber-Bereich gilt. Wir können es nicht alleine schaffen; Wir brauchen die gesamte Gemeinschaft, der wir dienen, um wach und aufmerksam zu sein. In der physischen Welt haben wir diese Fähigkeiten über Jahrzehnte (oder mehr) unseres Lebens verfeinert. In der Cyberwelt haben viele von uns diese Fähigkeiten nicht gelernt oder gelernt. Es liegt an uns Sicherheits- und Cyberexperten, unseren Mitarbeitern beim Aufbau und der Entwicklung dieser Fähigkeiten zu helfen.

Letztendlich untergräbt die Behandlung von Mitarbeitern wie Probleme die Kultur, die wir zu fördern versuchen. Mitarbeiter sind nicht unser schwächstes Glied; sie sind unsere beste Chance für eine sichere Zukunft. Wenn wir sie auffordern, ihre Denkweise zu ändern, um Cybersicherheit einzubeziehen, ist es nur fair, dass wir bereit sind, dies zu erwidern. Wir müssen unsere Denkweise ändern, um sie als Partner und Verteidiger zu sehen, nicht als Probleme und Risiken.


iDS bietet Unternehmen und Anwaltskanzleien auf der ganzen Welt beratende Datenlösungen, die ihnen einen entscheidenden Vorteil verschaffen – sowohl innerhalb als auch außerhalb des Gerichtssaals. Unsere Fachexperten und Datenstrategen sind darauf spezialisiert, Lösungen für komplexe Datenprobleme zu finden und sicherzustellen, dass Daten als Vermögenswert und nicht als Belastung genutzt werden können.

de_DEDE