Sicherheitslücke: Mitarbeiter - Weshalb sie für Cyberattacken anfällig sind
Wer zur Zeit in der Abteilung Informationstechnologie arbeitet, muss gute Nerven haben: Den regelmäßigen Warnungen zum Trotz gelingt es Cyberangreifern immer wieder, die Zugangsdaten von Mitarbeitern zu erschleichen und damit das gesamte Unternehmen zu gefährden. Obwohl Compliance und Schulungen es ausdrücklich verbieten, klicken zu viele Angestellte auf fragwürdige Links, laden ungeprüfte Daten herunter oder nutzen privates Equipment am Firmen-PC. Das größte Problem der IT-Abteilung, so scheint es, ist nicht die Raffinesse der Hacker, sondern die Mitarbeiter.
Ob im Homeoffice und Büro: Heute muss vieles schnell und oft nebeneinander erledigt werden. Für die IT-Sicherheit ist das ein großes Problem, denn gestresste Mitarbeiter öffnen Hacker-Angriffen oft unbedacht Tür und Tor. Das zeigt eine Studie von ESET und Myers-Briggs. Doch nicht jeder Angestellte ist für Cybercrime gleich anfällig. Sicherheitsvorfälle, so scheint es, sind auch eine Charakterfrage. Die Studie weist acht Typen aus, die in Stresssituationen unterschiedlich auf Securityfragen reagieren.
- Gewissenhafte Mitarbeiter etwa, die als kooperativ, loyal und anpassungsfähig gelten, sind vor allem durch die Zusammenarbeit mit unflexiblen Kollegen gestresst. Unter Druck vernachlässigen sie IT-Regeln und arbeiten stur an einer für sie optimalen Lösung – im schlimmsten Fall auf Kosten der Sicherheit.
- Den „aktiven“ Typ hingegen – eher analytisch, kontaktfreudig und logisch denkend eingestellt – stressen abstrakte Aufgaben ohne praktische Anwendungen. Dies führt laut der Analyse zu einem übermütigen, gefährlichen Umgang mit Cyberattacken.
- Auf Phishing fallen vor allem selbstbewusste, positive und kreative Charaktere mit hoher Begeisterungsfähigkeit herein, da sie sich etwa von E-Mails mit interessantem Inhalt angesprochen fühlen.
- Das Internet der Dinge (IoT) kann vor allem bei praktisch veranlagten Persönlichkeitstypen zum Sicherheitsproblem werden, da sie das Einstellen verbundener Geräte aus Selbstüberschätzung nicht IT-Experten überlassen .
Cybercrime als HR-Thema
Somit rücken neben technischen auch vermehrt psychologische Themen in den Fokus. Wird Cybercrime zum HR-Thema? „Selbstverständlich: Laufende Ausbildung, Schulungen und Awareness-Kampagnen der Mitarbeiterinnen und Mitarbeiter zum Thema IT-Sicherheit sind heute ganz wichtige Aufgaben in unserer Personalarbeit“, meint dazu Georgiana Lazar, Vorstand der UniCredit Bank Austria für People & Culture.
In den vergangenen zwei Jahren wurde hier einiges an Erfahrung gesammelt: „Wir sind sehr aktiv in der Erkennung sowie Bekämpfung neuer Risiken und können auch sehr gute Erfolge erzielen“, so die Managerin. Cyberpsychologie sei heute „selbstverständlich“ auch in der HR ein Thema. Doch stimmt es, dass manche Mitarbeiter aufgrund ihrer Persönlichkeit anfälliger für Cybercrime sind als andere?
Lazar: „Cybercrime ändert sich ständig. Indem wir kontinuierlich schulen und Feedback geben, sensibilisieren wir im Kampf gegen IT-Sicherheitsbedrohungen.“ Laut der KPMG Studie „Cyber Security in Österreich 2021“ wird der Kampf nicht so schnell enden. Zwar sind die meisten heimischen Unternehmen von Jahr zu Jahr besser auf Cyberkriminalität vorbereitet, doch die Wahrscheinlichkeit, digital angegriffen zu werden, ist größer denn je: 60 Prozent der befragten Unternehmen haben bereits einen Cyberangriff hinter sich. Fast ein Drittel der größeren Unternehmen wurde Opfer eines Datendiebstahls. Der Digitalisierungsschub der Pandemiemaßnahmen hat die menschlichen IT-Sicherheitslücken deutlich aufgezeigt.
Schulungen zur IT-Sicherheit sind heute ganz wichtige Aufgaben unserer Personalarbeit.
„In Abhängigkeit der jeweiligen Position ist sehr auf die IT-Sicherheit bei Angestellten zu achten – vor allem im Homeoffice“,meint dazu Personalberater Alexander Wozak. Es gibt, so Wozak weiter, bedauerlicherweise in den meisten Unternehmen viel zu wenig Präventionsmaßnahmen und Schulungen bezüglich der IT-Risiken, denen Angestellte mit zunehmender Digitalisierung ausgesetzt sind.
Obwohl auch der Personalberater erlebt, dass manche Mitarbeiter aufgrund ihrer Persönlichkeit anfälliger für Cybercrime sind als andere, bleibt IT-Sicherheit für ihn primär ein Thema der IT-Abteilungen. Dennoch kann HR eine wichtige Rolle dabei spielen, um Unternehmen fit gegen Cyberattacken zu machen: „Es ist vernünftig, wenn die HR-Abteilung Sicherheitsschulungen organisiert, die dann von der IT abgehalten werden“, so Wozak.
In Abhängigkeit der Position ist sehr auf die IT-Sicherheit zu achten. Vor allem im Homeoffice.
Bei der UniCredit Bank Austria spielt die Personalabteilung in Fragen der IT-Sicherheit bereits eine Rolle. Lazar: „Laufende Ausbildungen und Awareness-Kampagnen sind unverzichtbar. Alle Mitarbeiter sowie Führungskräfte werden geschult und ermutigt, flexibel zu denken und ständig nach neuen, bisher unentdeckten Bedrohungen Ausschau zu halten.“
Zu einem ganzheitlichen IT-Sicherheitskonzepte gehört also auch das Verständnis von individuellen Persönlichkeiten. Wäre es folglich wichtig, bereits bei der Stellenbesetzung auf IT-Sicherheitsthemen zu achten? Hier gehen die Meinungen auseinander. Lazar: „Generell ist IT-Kompetenz heute für uns ein wichtiges Auswahlkriterium und dazu zählt auch das Thema IT-Sicherheit.“ Personalberater Wozak winkt eher ab: „Da so gut wie jedes Unternehmen IT-Richtlinien besitzt, kann man diese erst im Zuge des Onboardings mit auf den Weg geben und nicht davor. Nachdem es ja bereits viel zu wenig fachlich gute und wechselwillige Kandidaten gibt, kann es sich kein Unternehmen leisten, vorab einen Kandidaten mit IT-Sicherheitsbedingungen zu beschäftigen.“
Kommentare