Wie Mitarbeiter zu IT-Sicherheit beitragen können

Risikofaktor Mensch

19.05.2017

Der beste Schutz gegen Cyberrisiken sind nicht ausgefeilte Virenscanner, sondern umsichtige und aufmerksame Mitarbeiter. Wie können Genossenschaften die Belegschaft für Gefahren sensibilisieren?

 
Montagmorgen, 10 Uhr: Zwei Handwerker betreten die Hauptgeschäftsstelle der Raiffeisenbank Neumarkt in der Oberpfalz und verlangen Zutritt zum nicht öffentlichen, kritischen Bereich des Gebäudes. Bevor sie ihn bekommen, verlangt der Mitarbeiter hinter dem Schalter die Ausweise für eine Kopie. Danach ruft er Rudolf Ehrensberger an. Er ist der Informationssicherheits-Beauftragte der Bank. Der Mitarbeiter weiß durch eine Schulung: Nur wenn die Handwerker bei Ehrensberger angemeldet sind, dürfen sie rein. So soll verhindert werden, dass sich Unbekannte Zugang zu sensiblen Bereichen wie Serverräumen oder Arbeitsplatzrechnern verschaffen.

Eine der Hauptaufgaben von Ehrensberger ist, die Mitarbeiter auf alle denkbaren Angriffsszenarien hinzuweisen und zu zeigen, wie die entsprechenden Sicherheitsmechanismen funktionieren. „Die Mitarbeiter tragen wesentlich zur IT-Sicherheit bei, sind aber zugleich die größte Schwachstelle“, sagt Ehrensberger.

Das sieht das Bundesamt für Sicherheit in der Informationstechnik (BSI) ähnlich. Informationssicherheit könne nur dann erreicht werden, wenn alle Mitarbeiter erkennen und akzeptieren, wie wichtig sie für den Erfolg des Unternehmens ist, betont die Behörde. Es sei daher unverzichtbar, die Mitarbeiter über Risiken und Gegenmaßnahmen aufzuklären.

Dafür sind in allen Banken die Informationssicherheits-Beauftragten federführend zuständig. Ihnen obliegt die Erstellung und die Umsetzung eines IT-Sicherheitskonzepts. Eine Aufgabe, die mittlerweile rund 60 bayerische Kreditgenossenschaften an die Spezialisten der Genossenschafts-Treuhand Bayern GmbH Wirtschaftsprüfungsgesellschaft (GTB) ausgelagert haben, eine Tochter des GVB.

Darunter ist auch die VR Bank Bamberg, die das Angebot seit 2015 nutzt. „Die Anforderungen der Aufsicht sind mittlerweile so komplex, dass sie selbst für eine Bank unserer Größe nur schwer ohne externe Unterstützung zu bewältigen sind“, erklärt Vorstandsmitglied Bernhard Lamprecht. Die Aufgaben des Beauftragten auszulagern habe da rüber hinaus den Vorteil, ständig einen unvoreingenommenen Blick von außen zu erhalten. Zudem kennen die Berater der GTB durch die Arbeit bei mehreren Banken immer die aktuellsten Entwicklungen. „Unwissenheit über neue Gefahren ist eine der größten Risiken bei Cyberkriminalität. Der Austausch hilft daher enorm“, sagt Lamprecht.

Unachtsamkeit und Neugier


Ein ebenso großes, zugleich aber sehr banales Risiko, gegen das die Sicherheitsbeauftragten täglich angehen müssen, ist Unachtsamkeit. „Viele Mitarbeiter vergessen zum Beispiel, in der Mittagspause ihren PC zu sperren oder notieren ihr Passwort auf einem Post-it neben dem Bildschirm“, sagt Thomas Goldbrunner, Referatsleiter IT-Service und IT-Prüfung Banken beim GVB. Manche wiederum versäumen, anders als der Mitarbeiter der Raiffeisenbank Neumarkt in der Oberpfalz, Besucher nach dem Ausweis zu fragen. Viele Mitarbeiter geben außerdem in sozialen Netzwerken detaillierte Informationen über ihre Stellung in der Bank preis. Das macht es Kriminellen leicht, lohnende Ziele für personalisierte Phishing-Mails auszukundschaften.

Ein weiterer, bedeutender Risikofaktor ist Neugierde: Viele Mitarbeiter öffnen ohne langes Nachdenken die Anhänge oder Links in kompromittierten Mails, weil sie wissen wollen, was dahinter steckt. „Neugier ist nur zu menschlich, darf in einer Bank aber nicht im Vordergrund stehen. Das muss ich den Mitarbeitern vermitteln“, sagt Rudolf Ehrensberger.

Das geht unter anderem mithilfe von Rundschreiben, Aushängen oder EMails. Bei der VR Bank Bamberg versendet der externe Sicherheitsbeauftragte beispielsweise regelmäßig Newsletter, sowie Ad-Hoc-Meldungen an Mitarbeiter der Bank, um auf aktuelle Sicherheitsvorfälle hinzuweisen. Ergänzt wird dies durch Ortsbegehungen durch den Sicherheitsbeauftragten, bei denen gezielt nach Schwachstellen gesucht und die Mitarbeiter auf Gefahren direkt angesprochen werden.

Auf diese Mischung setzen sie auch in Neumarkt: „Jeder Mitarbeiter ist anders. Manchen reicht zur Sensibilisierung eine Mail, anderen hilft dagegen die direkte Ansprache. Dem müssen wir gerecht werden“, sagt Ehrensberger.

Die Bundesbank ging mit dem Maßnahmen-Mix für ihre eigene, interne „Awareness“-Kampagne kürzlich sogar noch einen Schritt weiter: Sie ließ fünf Videoclips drehen und lebensgroße Pappaufsteller mit den Schauspielern in allen Standorten aufstellen. Dazu gab es eine Aktionsseite im Intranet sowie Plakate und große Bodenaufkleber, ähnlich wie an Bahnhöfen und Flughäfen.

Schulungen mit ABG und Fiducia & GAD IT


Weniger spektakulär, aber sowohl in Neumarkt als auch Bamberg unverzichtbar sind regelmäßige Schulungen der Mitarbeiter – meist in Zusammenarbeit mit der Fiducia & GAD IT sowie der ABG. Sie sollen bei den Mitarbeitern ein tiefergehendes Verständnis für die Anforderungen der IT-Sicherheit schaffen, sodass Rundmails und persönliche Gespräche auf fruchtbaren Boden fallen. Die Palette reicht dabei von Workshops für Geschäftsprozess-Verantwortliche und Führungskräfte über klassische Präsenzschulungen an der ABG in Beilngries bis hin zu sogenannten Web- Based-Trainings. Das sind interaktive Lernprogramme, welche die Mitarbeiter regelmäßig am PC absolvieren. An deren Ende steht jeweils eine Prüfung, für dessen Bestehen die Mitarbeiter ein Zertifikat erhalten.

Dass die Maßnahmen wirken, zeigt der Alltag. „Bei mir rufen immer häufiger Mitarbeiter an, um Hinweise zu geben oder Fragen abzuklären“, berichtet der Neumarkter Sicherheitsbeauftragte Ehrensberger. Auch Vorstand Bernhard Lamprecht verzeichnet Erfolge: „Wir konnten kürzlich einen Angriff auf die Personalabteilung durch Ransomware abwehren.“ Das soll auch in Zukunft gelingen. Das Motto in den beiden Kreditgenossenschaften lautet daher: Wachsam bleiben und immer weiter schulen.


Der Artikel ist in der Mai-Ausgabe von „Profil - das bayerische Genossenschaftsblatt“ erschienen.