Neue Mitarbeiter*innen oder die ersten Tage nach einem dreiwöchigen Urlaub, nette Unterhaltungen mit den Kolleg*innen und eine Willkommens-E-Mail und plötzlich ist alles anders. Die Telefone laufen heiß, Unruhe breitet sich aus und es gibt keine Antworten. So in etwa sieht ein Tag in einem Unternehmen aus, welches durch einen aktiven IT-Sicherheitsvorfall aus dem Alltag gerissen wird. Etwa weil Angreifer*innen durch das gedankenlose Reagieren auf eine Phishing-E-Mail Zugangsdaten des Unternehmens erhaschen konnten.
Der Inhalt im Überblick
Der Mensch im Fokus der Angreifer*innen oder Tätergruppen
Wie bereits in vergangen Artikeln beschrieben, wird der Mensch häufig als Risikofaktor gesehen oder als Einfallstor bezeichnet. Dabei ist zu beachten, dass das Risiko nicht bei allen Mitarbeiter*innen gleich hoch ist, sondern zum Großteil auf den Erfahrungen jedes Einzelnen im Umgang mit Gefahren und Risiken beruht. So fällt ein IT-Mitarbeiter*innen wahrscheinlich seltener auf eine Phishing-E-Mail herein als ein Mitarbeiter*innen im Außendienst.
Dabei kann man nicht per se darauf schließen, dass die Person sich nicht auskennt oder absichtlich in etwas hineintappt, sondern vielmehr, dass es einfach ein unbewusstes, vielleicht auch unüberlegtes Handeln war. Der Umgang und das „übliche“ Verhalten wird dabei in jedem Fall durch das „Gewohnte“ bedingt.
Angreifer*innen, oder wohl in den meisten Fällen eher Tätergruppen, wissen um menschliche Schwächen und ihre Vorgehensweisen werden immer raffinierter. Phishing-Mails sind oft, insbesondere im Zusammenspiel mit Social Engineering, so professionell gemacht, dass es sehr schwierig ist, diese als solche zu erkennen. Aber es geht! Und wenn nicht gibt es Wege, den Schaden so gering wie möglich zu halten.
Der Mensch im Fokus des Unternehmens
Jeder Mensch in einem Unternehmen sollte um die Gefahren und das mögliche Erkennen eines Angriffs wissen. Auch sollte jeder wissen, was zu tun ist, wenn ein Angriff begonnen hat. Wie bereits erwähnt, es ist heutzutage keine Schmach mehr, auf eine Phishing-Mail reinzufallen. Keiner ist davor gefeit. Dementsprechend sollten in regelmäßigen Abständen Awareness Schulungen Abständen für alle Menschen durchgeführt werden, sodass auch neuartige Angriffstechniken jedem bekannt sind.
Des Weiteren sollte genau geschaut werden, wer in einem Unternehmen speziellen Schulungen, Workshops oder Bootcamps benötigt, um die notwendige Präventionsarbeit leisten und im Falle eines IT-Sicherheitsvorfalls diesen schnell erkennen sowie unverzüglich tätig werden zu können.
Spezielle Schulungen
Administratoren*innen können z.B. gezielt geschult werden,
- wie mit Schwachstellen und Risiken eines Netzwerkes umgegangen werden muss,
- welche Konfigurationen vorgenommen werden müssen, damit im Falle des Falles eine ausreichende Spurenlage vorhanden ist,
- wie Gefahren, Vorfälle, Angriffe erkannt werden können,
- welche ersten Schritte bei einem Sicherheitsvorfall vorgenommen werden sollten
Manager*innen müssen alle Prozesse steuern können. Hier bieten sich beispielsweise Workshops, Schulungen und Trainings zu folgenden Bereichen an:
- Gefahren erkennen
- Risiken abschätzen
- Durchspielen eines Szenarios
Die Vermittlung von grundlegendem Verständnis der sachgemäßen Herangehensweise für eine erfolgreiche, beweissichere Aufklärung sollte immer im Fokus stehen.
Sicherheit geben
Um den sicheren Umgang mit Gefahren, Risiken und Notfällen noch weiter zu stärken, empfiehlt es sich, Notfallpläne zu entwickeln und für jeden zur Verfügung zu stellen. Klar definierte Rollen, Verantwortlichkeiten und Erreichbarkeiten geben Sicherheit. Jeder weiß, was er zu tun hat, auch wenn es unübersichtlich wird.
Der Mensch mit Bewusstsein und Plan
Heute ist bekannt, dass es kein Netzwerk gibt, welches zu 100 % sicher ist. Daraus folgt, dass es nur eine Frage der Zeit ist, bis ein Angriff gelingt. Menschen, die sich dessen bewusst sind, können Angriffe verhindern oder erkennen und dann im Notfall schnell reagieren. Und nur Menschen, die einen Plan haben, wie mit Gefahren, Risiken und Notfällen umzugehen ist, können in Stresssituationen durchdacht mit diesen umgehen und im Notfall Schäden und Ausfallzeiten minimieren.
Um Sicherheitsvorfällen richtig zu begegnen, ist der erste wichtige Schritt daher häufig, in den Köpfen der Menschen ein Bewusstsein für die Relevanz von IT-Sicherheit und den dazugehörigen Strategien zu schaffen.
Die Gendersprache im Artikel finde ich sehr verstörend. „Mitarbeiter*innen“, und eine Zeile späte dann nur „Kollegen“. Was ist eigentlich mit „der Mensch“? Dann sind es auf einmal nur noch „Mitarbeiter“ um mich im nächsten Satz wieder mit „Angreifer*innen“ inhaltlich aus dem Artikel zu katapultieren. Die Idee der Sprachveränderung ist so unsinnig wie unkonsequent umgesetzt.
Vielen Dank für Ihren Hinweis. Die Inkonsequenz hatte in diesem Fall nicht der Autor zu verschulden. Diese sind durch Unachtsamkeit von uns bei redaktionellen Änderungen des Beitrags entstanden. Wir haben die Stellen daher entsprechend korrigiert. Es bleibt unseren einzelnen Autoren grundsätzlich selbst überlassen, wie sie ihre Beiträge formulieren.
Zur Wirksamkeit gendergerechter Sprache mögen die Meinungen auseinandergehen. (Darüber wollen wir hier aber auch keine Diskussion beginnen. Diese findet an geeigneteren Orten schon lang und breit genug statt.) Nur die Absicht dahinter ist unbestritten positiv. Wieso also nicht die Zeit und Energie für die Reaktanz auf die gewählte Ausdrucksweise des Autors stattdessen in andere positive und in Ihren Augen sinnvolle Kleinigkeiten im Alltag investieren, damit die Welt ein bisschen besser wird. Leben und leben lassen.
Bisher waren eure Beiträge immer interessant, sodass ich mir diesen Blog aboniert habe, aber man muß sich doch nicht jedem Trend anschließen.
Das gilt hier speziell für „das Gendern“! Texte sind so fast nicht mehr lesbar und abgesehen davon, habe ich noch niemanden kennengelernt, der sich bei normaler deutscher Sprache, diskriminiert gefühlt hat.
Denkt bitte darüber nach.
Ihre letzte Aussage ist ein schwaches, induktives Argument. Nur weil Sie noch keine Person kennengelernt haben, die sich davon diskriminiert gefühlt hat, lässt sich daraus nicht die generelle Regel ableiten, dass es solche Menschen nicht gibt. Gegenbeispiele, die in der öffentlichen Debatte ihre Erfahrungen dazu schildern, gibt es mehr als genug.
Ja, gendergerechte Sprache mag den Lesefluss mancher Menschen beeinträchtigen. Das ein Text dadurch fast nicht mehr lesbar sei, ist aber wohl stark überdramatisiert. In der Dissertation „The significance of letter position in word recognition“ wurde 1976 dargelegt, dass gerade im mittleren Wortbereich, die richtige Buchstabenposition oder Schreibweise eine untergeordnete Rolle spielt, sondern das Gehirn ein Wort aus dem Zusammenhang erkennen kann. Zudem nimmt dabei die Lesegeschwindigkeit durchschnittlich um lediglich 11 Prozent ab. Dies kann sich noch durch die Komplexität und die Vertrautheit des Lesers mit dem Wort ändern. Aber es ist auch belegt, dass sich bei neuen oder unbekannten Wörtern für das Gehirn durch wiederholte Nutzung relativ schnell ein Gewöhnungseffekt einstellt. Wenn Sie also extreme Probleme mit der Lesbarkeit gendergerechter Sprache haben sollten, bietet es sich an, mehr solcher Texte zu lesen. Ansonsten verweisen wir auch auf unsere Antwort zu Ihrem Vorkommentator.