User führ(t)en täglich Krieg gegen die IT-Security

Shocked frustrated male staring at laptop screen, upset with bad online news, company business collapse, shares depreciation, rates decreasing. Office worker getting dismissal or termination notice

von Sascha Salzner, Marketing Manager, APIIDA AG

Im Zeitalter der digitalen Transformation steht das Thema „IT-Security“ weit oben auf der Firmenagenda. Viele Hackerangriffe auf Unternehmen sowie auf Personen des öffentlichen Lebens haben mittlerweile auch die User, also die Mitarbeiter selbst, sensibilisiert. So sollte es zumindest sein. Aber ist es tatsächlich so?

Die gesammelte Erfahrung aus verschiedenen Industrieunternehmen, lässt einen nicht so richtig daran glauben. Offenbar siedelt längst nicht jeder Mitarbeiter außerhalb der IT-Abteilung im Unternehmen das Thema IT-Sicherheit weit oben an. Ein Blick in die Realität erklärt, warum es hier nach wie vor Defizite zu geben scheint.

Blick in die Praxis: Komplexe Passwort-Richtlinien schwächen die IT-Sicherheit

Ein produzierendes Unternehmen mit über 600 Mitarbeitern, von denen knapp 200 im Angestelltenbereich tätig sind, führten tagtäglich „Krieg“ mit der IT-Security. Dies begann teilweise schon morgens zu Arbeitsbeginn. Nach dem Einschalten des PCs erschien der Startbildschirm mit der Aufforderung „Username und Passwort eingeben“. Nicht immer war das Firmenpasswort jedem im Gedächtnis geblieben. „Zum Glück“ gab es in so einem Fall den sogenannten Passwortzettel auf der Rückseite der Tastatur. Andere Kollegen hatten übrigens ihren Passwortzettel in deren Rollcontainer in der obersten Schublade liegen oder sogar direkt am Bildschirm kleben. Innerhalb der Abteilung wusste fast jeder, wo der Kollege seinen Passwortzettel abgelegt hatte und nicht selten wussten dies auch Mitarbeiter außerhalb der Abteilung.

Nach erfolgreicher Passworteingabe erhielt der ein oder andere Mitarbeiter direkt die Info „Ihr Passwort ist abgelaufen und muss aktualisiert werden“. In diesem Moment hatte dieser User das Kriegsbeil gegenüber seiner IT-Abteilung ausgegraben. Viel zu hoch war der Nervfaktor, schon wieder ein neues Passwort vergeben zu müssen. Um endlich der eigentlichen Arbeit nachzukommen, wurde von vielen Mitarbeitern einfach die nächst fortlaufende Zahl am Ende eines Wortes angehängt, bis nach der Zahl 25 oder 30, wieder mit der Zahl 1 begonnen werden konnte. Die nächste Hürde, sich im ERP System anzumelden, war niedriger, da viele das gleiche Passwort wie zur Systemanmeldung wählten. War hier jedoch die Laufzeit des Passwortes eine andere, unterschieden sich die Passwörter naturgemäß – bis zu dem Zeitpunkt, wo auch hier eine neue Vergabe nötig war.

Erkenntnis: Zu komplizierte Passwortregeln tragen mehr zur Schwächung als zur Stärkung der Sicherheit der Systeme bei. Die User wollen sich nicht lange mit den Regeln aufhalten, sondern schnellstens ihrer Arbeit nachkommen.

Das Praxisbeispiel ist kein Einzelfall: In einem anderen Industrieunternehmen mit weltweit 15.000 Mitarbeitern etwa saß man z.B. an einem Standort mit 25 anderen Kollegen in einem Großraumbüro. Ab und zu riefen sich die Kollegen gegenseitig die Passwörter über die Tische zu, sodass der andere Mitarbeiter einmal schnell den PC des Kollegen entsperren konnte, um etwas nachzuschauen. Der IT-Mitarbeiter, der in diesem Fall mit im Großraumbüro saß, wurde da schon mal sauer. Solche und ähnliche Szenarien musste er nämlich wöchentlich miterleben.

Sind die User innerhalb des Unternehmens also durch die aktuellsten Vorfälle von Hackern sensibilisiert, sorgsam mit ihren Passwörtern umzugehen? Eher nicht. Vielleicht sind sie es inzwischen im privaten Bereich. Im täglichen Kampf mit der Firmen-IT hingegen hat sich für den User oft nichts geändert. Trifft man heute Personen aus den genannten Beispielen, erzählen diese auf Nachfrage, dass der „Kampf“ weiter tobt. Diese Erfahrung deckt sich mit vielen anderen Berichten aus dem Kollegen-, Bekannten,-und Freundeskreis. Man kann sich also ungefähr vorstellen, wie es in Deutschland teilweise zu sein scheint. Daraus resultiert die Erkenntnis, dass ein User aus der Buchhaltung, oder dem Einkauf oder aus einer anderen Abteilung, die eigene Produktivität gern vor die IT-Security stellt – wenn die Sicherheitsvorgaben zu komplex sind und zu viel Aufmerksamkeit fordern.

Psychologie des Menschen

Studien bestätigen diese Einschätzung: Ein fehlendes Sicherheitsbewusstsein, Bequemlichkeit, aber auch Sorglosigkeit und Naivität sind oft die Ursache. Einige Studien besagen, dass 90% aller Sicherheitsvorfälle im Bereich der Web-Anwendungen auf schwache Passwörter von den Usern zurückzuführen sind. (Quelle Buch: Beherrschbarkeit von Cyber Security, Big Data und Cloud Computing: Tagungsband zur dritten EIT ICT Labs-Konferenz zur IT-Sicherheit)

Menschen bevorzugen in der Regel einfache Verfahren, um Probleme zu lösen, und wenden keine hochkomplexen Entscheidungsfindungsprozesse an. Deshalb seien sie nicht in der Lage, aus Entwicklersicht „logische“ Entscheidungen in Sachen Security zu treffen um z.B. ein komplexes Passwort zu wählen, das sicher ist.

IT-Security verbessern

Die Frage ist also, wie müssen Security-Teams ihre Prozesse aufsetzen, um eine bessere Balance zwischen Security und Usability zu erzielen? Sollen Sie die Bereiche in Augenschein nehmen, wo die Mitarbeiter dazu tendieren, die IT-Sicherheit zu Gunsten der Produktivität zu vernachlässigen?

Ein guter Ansatz, um solchen Szenarien entgegen wirken zu können, wäre dieser:

Die Unternehmen sollten Optionen im Bereich der Identity- und Access-Management-Lösungen, wie Multi-Faktor-Authentifizierungen (wie APIIDA Mobile Authentication) oder Single-Sign-On (zum Beispiel APIIDA Intelligent SSO), wählen. Solche Systeme können ihre IT-Sicherheit auf eine andere Ebene heben. Zudem sind diese gegenüber dem User meist „fashion-like“ und finden durch ihre Einfachheit mehr Akzeptanz.

Mit Lösungen wie APIIDA Mobile Authentication etwa kann genau dieser Ansatz gelingen:

APIIDA Mobile Authentication nutzt nämlich das Smartphone zur starken 2-Faktor Authentifizierung von Benutzern. Das Produkt liefert, je nach Edition, eine Zertifikats-basierte Authentisierung, eine Authentisierung mittels Benutzername und Passwort, sowie PIN oder Fingerabdruck. Die Verbindung zwischen Smartphone und dem Client erfolgt über eine sichere Bluetooth Verbindung und benötigt keine Verbindung zum Internet. So ist eine Anmeldung von jedem Ort aus möglich. Außerdem ist die Verwendung eines mobilen Telefons bei der überwiegenden Zahl der Anwender heutzutage der „Normalfall“ und eine bequeme Anmeldung per App ist willkommen.

Security Awareness

Darüber hinaus sollten die Mitarbeiter in allen Abteilungen für das Thema IT-Security mit speziellen Schulungen/Workshops oder auch mit Praxisbeispielen sensibilisiert werden. Auch das Security-Team ist aufgefordert, sich mit den täglichen Arbeitsabläufen der User auseinandersetzen, um deren Arbeitsweise und Probleme gegenüber der IT besser zu verstehen.

Fazit

Unternehmen müssen die richtige Balance zwischen IT Security und der sogenannten User-Bequemlichkeit finden. Ihr Ziel sollte eine reibungslose IT-Sicherheit sein, bei der das Kriegsbeil begraben bleibt – dank verständlicher, einfacher Prozesse und Regeln, die alle akzeptieren können und wollen.

Deutsch
Telefontermin vereinbaren Produktdemo vereinbaren zum Newsletter anmelden

This website uses cookies to permanently improve the user experience. By visiting this website, you automatically agree to this fact. Further information can be found in our Privacy Policy.

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close