Welche Konsequenzen haben Datenlecks f\u00fcr Mitarbeiter? Um diese Frage beantworten zu k\u00f6nnen, werfen wir zun\u00e4chst einen Blick auf die Ursachen derartiger Vorf\u00e4lle, die meiner Erfahrung nach h\u00e4ufig auf der Nachl\u00e4ssigkeit und Verantwortungslosigkeit der Mitarbeiter oder einem ineffektiven Management beruhen. Mit anderen Worten: der Faktor Mensch spielt bei allen Ursachen meist eine wichtige Rolle.<\/p>\n
Wenn Sie Mitarbeiter danach fragen, welche Workflow-\u00c4nderungen ihnen dabei helfen w\u00fcrden, ihre Produktivit\u00e4t und Arbeitszufriedenheit zu steigern, f\u00e4llt die Antwort meist immer gleich aus: Viele Arbeitnehmer m\u00f6chten ungest\u00f6rt und nach ihren eigenen Vorgaben arbeiten. Dazu geh\u00f6rt beispielsweise das Gew\u00e4hren von Administratorrechten auf dem eigenen Computer, um beliebige Software zu installieren und nach eigenem Ermessen Zugriff auf die Daten und Systeme des Teams zu gew\u00e4hren. Auch die Einladung von G\u00e4sten ins B\u00fcro steht bei vielen Mitarbeitern auf der Wunschliste.<\/p>\n
Gleichzeitig ist aber niemand wirklich dazu bereit, die Verantwortung f\u00fcr das zu \u00fcbernehmen, was er\/sie will oder f\u00fcr zweckm\u00e4\u00dfig h\u00e4lt. Viele Mitarbeiter (und manchmal auch ihre Manager) sind selbstgef\u00e4llig und glauben, dass ihnen wie durch eine magische Hand Schutz geboten wird. Sie sind der Annahme, dass, egal was sie tun, magische Assistenten bereitstehen, um ihren Tag zu retten. Nat\u00fcrlich geben wir Experten f\u00fcr Cybersicherheit immer unser Bestes, um Benutzer zu sch\u00fctzen, aber auch wir sind nicht allm\u00e4chtig.<\/p>\n
Die zweite Ursache f\u00fcr die schwerwiegendsten Vorf\u00e4lle ist im Gro\u00dfen und Ganzen ein ineffektives Gesch\u00e4ftsprozessmanagement \u2013 in diese Kategorie fallen auch die Handlungen bzw. die Passivit\u00e4t von Informationssicherheits- und IT-Mitarbeitern. Ein Unternehmen, das sich ernsthaft mit dem Thema Cybersicherheit befasst, erleidet unwahrscheinlich einen gr\u00f6\u00dferen Schaden, wenn ein Mitarbeiter ein USB-Flash-Laufwerk mit einer infizierten Datei mit dem Computer verbindet oder eine E-Mail mit einem sch\u00e4dlichen Anhang oder einer sch\u00e4dlichen URL \u00f6ffnet. In jedem Fall muss eine Fehlerkette in der richtigen Kombination gegeben sein:<\/p>\n
Jeder dieser Faktoren ist die Folge einer Entscheidung. Die Gesamtursache des Vorfalls ist jedoch eine Kombination all dieser Faktoren. Wie sich ein solcher Vorfall auf die Motivation der Mitarbeiter auswirkt, h\u00e4ngt weitgehend von der Reaktion des Managements ab \u2013 und manchmal k\u00f6nnen die Ma\u00dfnahmen, die ein Unternehmen trifft, um das Wiederauftreten solcher Vorf\u00e4lle zu verhindern, viel mehr Schaden anrichten als der Vorfall selbst.<\/p>\n
Hier ein Beispiel aus der Praxis: Ein Bankinstitut wurde immer wieder mit Vorf\u00e4llen konfrontiert, die sowohl auf externe Angriffe als auch auf Fehler der Mitarbeiter zur\u00fcckzuf\u00fchren waren. Die Folge waren vermehrte Systemausf\u00e4lle der Bank. Um die verantwortliche Abteilung zu motivieren und die Schuldigen zu bestrafen, veranlasste das Management mehrere Entlassungen seiner IT- und Infosec-Mitarbeiter. Gleichzeitig stellte das Management, mit dem Wissen, dass das automatisierte Bankensystem architektonische Schwachstellen aufwies, kein Budget zur Verf\u00fcgung, um ein neues System zu erstellen oder das alte zu reparieren. Erfahrene Mitarbeiter wiesen vermehrt darauf hin, dass Fehler jederzeit m\u00f6glich sind, woraufhin sich das Unternehmen daf\u00fcr entschied, neue Mitarbeiter einzustellen, anstatt das grundlegende Problem zu beheben. Den neuen Mitarbeitern fiel es jedoch schwer, Verst\u00e4ndnis f\u00fcr das firmenintern entwickelte System des Unternehmens zu entwickeln, woraufhin sie noch mehr Fehler machten und mehr Zeit mit der Wartung der Systeme verbrachten, da ihnen wesentliche Kenntnisse fehlten. Viele Kunden verlie\u00dfen die Bank, die von ihrer Position in den Top 50 auf einen Platz im 200er-Rang abrutschte.<\/p>\n
Meiner Meinung nach ist es wichtig, Ihre Mitarbeiter zu motivieren, nicht zu demotivieren. Helfen Sie ihnen deshalb, ihre Verantwortung und die Unternehmenswerte zu verstehen.<\/p>\n
Die Infosec-Regeln f\u00fcr Unternehmen m\u00fcssen einfach und spezifisch erl\u00e4utern, was erlaubt ist, was nicht und was die Mitarbeiter im Falle eines Cybervorfalls tun m\u00fcssen. Die Teamleiter m\u00fcssen ihren Mitarbeitern Informationen klar mitteilen und w\u00e4hrend und nach einem Cyberunfall das Problem und seine Folgen erl\u00e4utern. Dies tr\u00e4gt zur Aufrechterhaltung einer gesunden Teamatmosph\u00e4re bei und kann dem Unternehmen helfen, die Wiederholung gleicher Fehler zu vermeiden.<\/p>\n
Hier einige Tipps:<\/p>\n