Zunächst ist es wichtig zu verstehen, wieso der Mensch das wohl grösste IT-Sicherheitsrisiko für Firmen ist. Der Grund ist einfach: Er handelt menschlich und nicht wie eine Maschine nach einer programmierten Logik. Ein Beispiel: Ein Mitarbeiter erzählt einem Bekannten aus einer anderen Firma, dass sie im Unternehmen eine veraltete Version des CRMs verwenden. Ein Mitarbeiter der Konkurrenz bekommt dieses Gespräch mit und notiert sich alle Informationen. 

Viele Hacker-Attacken nehmen auf diese Art ihren Anfang. Besonders heikel ist auch das Verhalten von entlassenen Mitarbeitenden, die ihrem Frust Ausdruck geben. Die meisten angegriffenen Firmen würden wohl bestätigen, dass es ohne den «Faktor Mensch» nicht möglich gewesen wäre, eine erfolgreiche Hacker-Attacke durchzuführen.

Allzu menschlich ist auch die Abneigung gegen komplizierte Passwörter. Ob es der Name des Hundes oder eine dreistellige Zahlenfolge ist: Viele Passwörter sind einfach zu erraten. Oftmals werden sie jeweils gleich mehrmals verwendet oder schlimmstenfalls öffentlich zugänglich notiert – zum Beispiel auf einem Post-it.

Mitarbeitenden ist häufig nicht bewusst, welche Gefahr dieses vermeintlich normale Verhalten mit sich bringt. Es reicht bereits, dass ein Kleinkrimineller sich als Mitarbeiter der Reinigungsfirma ausgibt und das herumliegende Passwort eintippt. So kann er mit einem USB-Stick Firmendaten entwenden. Oder Schadsoftware installieren. Und wenn er etwas mehr Zeit hat und das Passwort an weiteren PCs oder in anderen Systemen ausprobiert, dann ist die Wahrscheinlichkeit gross, dass er sich zu weiteren kritischen Daten Zugriff verschaffen kann.

Menschen werden gerne gelobt. Sie hören gerne, dass sie ihre Sache gut machen. Und in dieser Stimmung sind Mitarbeitende oftmals bereit, das eine oder andere aus ihrem Job preiszugeben. Diese menschliche Schwäche kann ein Angreifer ausnutzen und durch geschickte Fragen wichtige Informationen gewinnen.

Zusätzlich stehen jedem Angreifer sämtliche Informationen zur Verfügung, welche in den sozialen Medien geteilt werden. Gerade bei unbedarften oder frustrierten Mitarbeitenden besteht hier ein Risiko. Und à propos soziale Medien: Eine weitere Gefahr stellen auch Webapplikationen bekannter Messenger-Dienste dar, wenn sie auf dem Firmenrechner genutzt werden. Denn jede Sicherheitslücke darin kann zum Einfallstor für Angriffe auf Ihre Firmensysteme werden. Und es ist ein einfacher Weg, um gefährliche Dateien zu verbreiten und auf Downloads zu hoffen.

Sie möchten Ihren Mitarbeitenden WLAN zur Verfügung stellen? Gute Idee. Sie wollen es auch für private Geräte zugänglich machen? Ganz schlechte Idee. Denn Sie haben als Firma keinen Überblick über die Sicherheit fremder Geräte. Das öffnet Angreifern die Tür. Dasselbe gilt auch für andere private Geräte wie USB-Sticks oder externe Festplatten, die im Arbeitsalltag genutzt werden. Diese sogenannte «Schatten-IT» wird normalerweise ohne das Wissen der IT-Abteilung betrieben und stellt ein Sicherheitsrisiko dar.

Gefährlich kann es auch werden, wenn der Geschäfts-Laptop für private Zwecke verwendet wird. Selbst im Rahmen einer normalen Freizeitnutzung vergrössert sich das Risiko für die Firma, zum Beispiel wenn private oder ungesicherte öffentliche WLAN-Netzwerke genutzt werden.

Stellen Sie sich vor, Ihr Buchhalter hat die Lohnliste versehentlich zweimal ausgedruckt. Das überschüssige Exemplar wirft er in den Papierkorb. Frei zugänglich für andere Mitarbeitende oder – noch schlimmer – Konkurrenten. So schnell können strategisch relevante Unternehmensdaten in die falschen Hände geraten.

Das gilt auch für den digitalen Raum: Wer auf seinem PC nicht mehr benötigte sensible Daten lagert, riskiert, dass die Firma im Falle eines Angriffs wichtige Informationen preisgibt. Und es ist fraglich, ob Mitarbeitende einen solchen Datenverlust tatsächlich melden würden. Falls sie sich überhaupt daran erinnern, diese Dokumente noch gespeichert gehabt zu haben.