Wie Sie das menschliche Risiko in Ihrer Organisation reduzieren können

Zahlreiche Studien zeigen, dass menschliche Fehler, ob absichtlich oder versehentlich, eine der Hauptursachen für Sicherheitsverletzungen sind. Laut einer Studie der Stanford University und Tessian werden 88 % der Datenschutzverletzungen durch Fehler von Mitarbeitern verursacht. Die Beteiligung von Menschen an der Cybersicherheitskette ist ein erheblicher Risikofaktor, da Unternehmen oft über anekdotische Hinweise auf die Auswirkungen menschlicher Fehler auf Sicherheitsvorfälle verfügen. Um diese Bedrohungen wirksam abzuschwächen, müssen Unternehmen die Risiken des Personalmanagements angehen, indem sie die Schwachstellen nicht nur bei Mitarbeitern, sondern auch bei Nicht-Mitarbeitern angehen.

Dieser Leitfaden befasst sich mit den verschiedenen Arten menschlicher Risiken innerhalb eines Unternehmens und bietet Strategien zur Verringerung dieser Risiken, wobei der Schwerpunkt auf dem Aufbau einer sicheren und widerstandsfähigen Belegschaft liegt.

Irren ist menschlich: Das menschliche Risiko definieren

Die Definition des Begriffs „menschliches Versagen“ ist wichtig, um herauszufinden, wie das Risiko eines menschlich bedingten Sicherheitsfehlers minimiert werden kann.

Menschliches Versagen kann grob in zwei Bereiche eingeteilt werden:

Übersichten

Fehler und Irrtümer kommen vor, und wenn sie passieren, steigt die Bedrohung für ein Unternehmen. Ein typisches Beispiel für ein Versehen ist ein Mitarbeiter, der versehentlich eine E-Mail mit sensiblen Informationen an die falsche Person sendet, auch bekannt als Fehlzustellung einer E-Mail.

Ein weiteres Beispiel für ein Versehen ist die Fehlkonfiguration einer Cloud-Komponente wie einer Datenbank. Ein weiteres Beispiel ist der Gedanke, dass es in Ordnung ist, ein Passwort mit einem Kollegen zu teilen. Versäumnisse umfassen den allgemeinen Bereich des falschen Umgangs mit sensiblen Daten durch Mitarbeiter, der zu Verstößen gegen die Vorschriften, Geldstrafen und dem Verlust des Kundenvertrauens führen kann.

Täuschung

Social-Engineering-Betrügereien erhöhen das menschliche Risiko in einer Organisation. Social-Engineering-Betrügereien, wie z.B. Phishing-E-Mails mit bösartigen Anhängen oder Links, können das Risiko für Menschen in einem Unternehmen erhöhen.

Ein weiteres Beispiel für die Täuschung eines Mitarbeiters durch einen böswilligen Akteur ist Business Email Compromise (BEC), ein Betrug, bei dem ein Cyberkrimineller Mitarbeiter dazu bringt, betrügerische Rechnungen zu bezahlen. Egal, ob ein Angestellter getäuscht wird oder unbeabsichtigt einen Fehler verursacht, die Folgen können katastrophal sein. Der Bericht der FBI-Einheit für Internetkriminalität, IC3, über BEC-Kriminalität hat beispielsweise ergeben, dass sich die durch BEC verursachten Verluste im Jahr 2020 auf 1,8 Milliarden Dollar beliefen.

Eine ausführlichere Diskussion über die Rolle der Mitarbeiter bei der Cybersicherheit in Unternehmen finden Sie in dem Artikel Building a Human Firewall, in dem die Bedeutung von Mitarbeiterschulungen und -bewusstsein für die Schaffung einer starken ersten Verteidigungslinie hervorgehoben wird.

Fünf Strategien zur Minderung des menschlichen Risikos

Um die Risiken der Personalverwaltung zu verringern, können Unternehmen fünf wichtige Strategien anwenden, um die Sicherheitshygiene zu verbessern und das mit menschlichen Fehlern verbundene Risiko zu senken:

1) Durchbrechen Sie den Kreislauf des Klicks

Die Gewohnheiten der Mitarbeiter, die durch ein benutzerfreundliches UI/UX-Design beeinflusst werden, können zu unvorsichtigen Handlungen führen, wie z. B. das Klicken auf bösartige Links ohne nachzudenken. Um dem entgegenzuwirken, können kontrollierte Phishing-Tests dazu beitragen, das Klickverhalten zu ändern und die Mitarbeiter zu einem vorsichtigeren Verhalten zu bewegen.

2) Schaffen Sie eine Kultur der Sicherheit

Cyber-Risiken gehen jeden etwas an. Beim Aufbau einer Cybersicherheitskultur sollten Sie sich auf die Bereiche konzentrieren, die das Risiko in einem Unternehmen oder einem Prozess erhöhen. Dabei sollten Sie sich bewusst sein, dass das Risiko je nach Abteilung oder sogar je nach Mitarbeiter unterschiedlich hoch sein kann. Übungen zum Aufbau einer Cybersicherheitskultur müssen die detaillierten Bedürfnisse eines Unternehmens widerspiegeln, und durch die Schaffung einer Kultur des Cybersicherheitsbewusstseins können Sie dazu beitragen, Risiken durch Wissen zu verringern.  

3) Bessere Entscheidungen unterstützen

Viele menschliche Fehler, die zu einem erhöhten Cyber-Risiko führen, sind einfach schlechtes Urteilsvermögen. Menschliches Versagen umfasst eine breite Palette von Problemen, die zu Datenverlusten und anderen Sicherheitsvorfällen führen. Manchmal liegt es einfach daran, dass man nicht über die nötigen Informationen verfügt, um eine gute Entscheidung zu treffen. Und manchmal geht es darum, Strukturen einzurichten, die verhindern, dass eine falsche Entscheidung getroffen wird. Die Sicherheitshygiene ist ein gutes Beispiel dafür.

Untersuchungen von Yubico haben ergeben, dass 69 % der Mitarbeiter ihre Passwörter weitergeben, um den Zugriff auf Konten zu erleichtern. Um das Risiko des menschlichen Faktors bei der Arbeit zu verringern, sollten Sie Ihre Mitarbeiter darüber aufklären, wie wichtig es ist, Passwörter nicht weiterzugeben, und dies durch die Verwendung der Zwei-Faktor-Authentifizierung (2FA) für alle Anwendungen, die 2FA unterstützen, unterstützen.

4) Cyber-Hygiene zur Verringerung des Risikos menschlicher Fehler

Die Schulung der Mitarbeiter in Sachen Cyber-Hygiene ist ein weiterer wichtiger Aspekt der oben erwähnten Sicherheitshygiene. Cyber-Hygiene deckt eine Reihe von Bereichen ab und umfasst eine Clean Desk Policy, die durchsetzbar ist. Durch bewährte Verfahren der Cyber-Hygiene werden Online-Sicherheitsrisiken minimiert und die IT-Systeme gesund erhalten. Außerdem hilft sie bei der Einhaltung von Sicherheitsstandards wie ISO 27001.

Die Praxis der Cyber-Hygiene erstreckt sich nicht nur auf die Mitarbeiter, sondern auch auf die allgemeine Pflege der IT-Systeme. Dazu gehört die Verwendung geeigneter Tools zur Überwachung potenzieller Bedrohungen, die Sicherstellung der Aktualisierung digitaler Zertifikate, die schnelle Bereitstellung von Patches und so weiter. Zu den bewährten Praktiken der Cyber-Hygiene gehört es, sicherzustellen, dass menschliche Fehler bei der Konfiguration von Systemen oder Geschäftsprozessen erkannt werden, bevor sie ausgenutzt werden.

Weitere Informationen darüber, wie Sie Cyber-Hygiene durchsetzen und das menschliche Risiko minimieren können, finden Sie in dem Artikel Human Risk Management in Cyber Security: Schützen Sie Ihr Unternehmen mit effektiven Hygienepraktiken.

5) Machen Sie die Menschen zu einem Teil Ihres mehrschichtigen Sicherheitsansatzes

Mitarbeiter sind oft die Quelle eines erhöhten Cyber-Risikos, aber sie sind auch der Punkt, an dem ein Unternehmen das Risiko durch den Faktor Mensch verringern kann. Indem Sie sicherstellen, dass Mitarbeiter und Nicht-Mitarbeiter Teil eines mehrschichtigen Ansatzes für die Cybersicherheit sind, kann Ihr Unternehmen ein ganzheitliches De-Risking von „Menschen, Prozessen und Technologie“ gewährleisten.

Indem Sie alle Mitarbeiter in die Schulung einbeziehen, vom CEO bis hin zu den jüngsten Mitarbeitern, decken Sie alle Lücken ab, in denen Daten nach außen dringen können oder in denen es zu Sicherheitsmängeln kommen kann.

Risikoverminderung im Human Resource Management

Menschliche Fehler und Social Engineering gehören nach wie vor zu den größten Bedrohungen für die Cybersicherheit eines Unternehmens. Durch proaktive Maßnahmen – wie die Förderung einer starken Sicherheitskultur, die Förderung der Cyber-Hygiene und die Einbindung der Mitarbeiter in einen robusten Sicherheitsrahmen – können Unternehmen ihre Risiken im Personalmanagement jedoch erheblich reduzieren. Eine gut informierte und engagierte Belegschaft ist unerlässlich, um menschliche Schwachstellen in einen strategischen Vorteil zu verwandeln und die allgemeine Widerstandsfähigkeit des Unternehmens gegenüber Cyber-Bedrohungen zu stärken.

[faq_posts]