EVENTFAQ News

aus dem Eventrecht
Mitarbeiter sind oftmals ein IT-Sicherheits-Risiko

Mitarbeiter sind oftmals ein IT-Sicherheits-Risiko

Von Thomas Waetke 22. August 2019

Ein Experiment des IT-Sicherheitsdienstleisters Kaspersky sollte jeden Unternehmer aufhören lassen:

Über einen Zeitraum von 5 Tagen hatte ein Tester den Auftrag, in Zügen herauszufinden, ob und welche sensiblen Informationen er erlangen kann – ohne dabei technisches Equipment einzusetzen. Es ging also allein darum, wie nachlässig Zugreisende mit Laptop und Telefon umgehen.

In 5 Tagen und 170 inspizierten Waggons wurden 2.245 Informationen erlangt. Die meisten Informationen erlangte der Tester durch schlichtes Betrachten der Laptop-Bildschirme; lediglich 5 % der mit einem Laptop arbeitenden Reisenden setzten bspw. einen Sichtschutz ein.

In 106 Telefonaten, die der Tester problemlos mithören konnte, wurden bspw. in 28 Fällen der Klarname des Angerufenen genannt, in 81 Fällen der Klarname des Reisenden.

Für IT-Sicherheitsleute ist das Ergebnis wenig überraschend, dass Mitarbeiter oftmals die größte Lücke im System sind. Sei es, weil Hintertüren der Unternehmen für das rauchende Personal offenstehen, sei es, weil USB-Sticks bedenkenlos getauscht und eingesteckt werden oder dass eben Handy und Laptop auf Geschäftsreisen wenig sorgfältig eingesetzt werden.

Im Veranstaltungsbereich fallen mir beispielhaft ein paar Risiken ein, die teilweise bei meinen Mandanten auch leider eingetreten waren:

  • Übermittlung von Mitarbeiterlisten oder Sicherheitskonzepten per E-Mail;
  • Offenes Liegenlassen von Mitarbeiterlisten, Sicherheitskonzepten oder Plänen;
  • Für Dritte einsehbare E-Mails, Namen, Mailadresse usw. bspw. im Zug, am Bahnhof, im Restaurant usw.;
  • Anklicken unbekannter E-Mail-Inhalte, die zum unauffälligen Download von Malware o.Ä. führen;
  • Aussendung von E-Mails an falsche Mailadressen, die über die Autovervollständigung des Mailprogramms eingefügt wurden;
  • WLAN mit einfachem Passwort…

Die Liste ließe sich nahezu unendlich fortführen.

Aus vielerlei Gründen sollte jeder Unternehmer ein hohes Interesse daran haben, dass es nicht nur technische und organisatorische Schutzmaßnahmen gibt, sondern dass auch die Mitarbeiter selbst wissen, was sie tun. Wichtig ist, die Mitarbeiter zu sensibilisieren, wie leicht es sein kann, bei Nachlässigkeit Daten und Informationen preiszugeben bzw. welchen immensen Schaden das anrichten kann.

Urheberangabe für das/die Foto(s) (Symbolfoto):