Wir sind alle Menschen und Menschen machen Fehler.
Es wird sich daher auch niemals ganz vermeiden lassen, dass bei der Arbeit Fehler passieren, die von Externen genutzt werden und zum Datenabfluss führen können.
Umso wichtiger ist es jedoch, auch die – wir bezeichnen sie mal so – „Innentäter“ zu thematisieren, da hingegen aller Vermutungen etwa zwei Drittel der Angriffe von innen erfolgen – selbst wenn ungewollt.
Was sind überhaupt Innentäter?
Innentäter sind im Unternehmen beschäftigte Personen, die dem Unternehmen Schaden zufügen durch Nichtbeachtung der Regelungen und Vorgaben wie Geschäftsrichtlinien, Informationssicherheitsvorgaben, Datenschutzrichtlinien etc.
Hier sind sowohl Datenschutzverstöße inkludiert als auch materielle Schäden (wie der Verlust von wertvollen Informationen, Zerstörung eines Computers etc.) oder immaterielle Schäden (wie Rufschädigung des Unternehmens).
Innentäter können bewusst und unbewusst handeln.
Bewusst zu handeln in diesem Sinne bedeutet, absichtlich, evtl. sogar böswillig Informationen weiterzugeben.
Bei den unbewussten Innentäter kann man sogar noch weiter differenzieren:
- Gutgläubige Innentäter
glauben das Richtige zu tun und tun dabei doch das Falsche.
Wenn sich beispielsweise ein Anrufer als Geschäftspartner ausgibt, um mit diesem Trick interne Informationen herauszufinden, gibt Anja gerne Informationen heraus, weil sie alles richtig machen und den Geschäftspartner zufriedenstellen möchte.
-> Eine Präventionsmaßnahme wären Schulungen, in denen auf die Gefährdung aufmerksam gemacht und der entsprechende Umgang damit geübt wird.
- Unverbesserliche und schwatzhafte Innentäter
scheinen solche Gelegenheiten fast anzuziehen, da sie eben sehr schwatzhaft sind und sich selbst gerne in den Vordergrund stellen.
Eigentlich war in einer Richtlinie festgehalten, dass keine nicht zugelassenen USB-Sticks verwendet werden dürfen. Dennoch hatte Karl einen verwendet, auf dem sich eine Verschlüsselungssoftware befand, die nun ebenfalls den Rechner verschlüsselte und nun ist dieser nicht mehr verwendbar (ganz zu schweigen davon, was mit dem gesamten Netzwerk noch hätte passieren können).
-> In diesem Fall wird es wichtig sein, dass schützenswerte Infos auch für interne Unbefugte nicht zugänglich sind. Außerdem sollte in Schulungen immer wieder auf diese Problematik hingewiesen werden.
- Schusselige und überengagierte Innentäter
halten sich oftmals nicht an Regeln, einfach weil sie im Moment nicht daran denken.
Katja hat beispielsweise Probleme damit, sich Passwörter zu merken. Daher wählt sie ein recht einfaches aus und klebt dieses zudem noch an den PC-Bildschirm. Dass es hier zu großen Problemen kommen kann, ist wohl selbsterklärend. Was wenn die Reinigungskraft das Passwort findet?
-> Im Grunde kennen sowohl die Schussel als auch die Überengagierten die Gefährdungen. Daher sind hier wohl deutlich erinnernde Gespräche von Nöten.
- Die Allesklicker
denken oft erst zu spät nach und klicken angezeigte Links zu schnell an.
Sören bekommt eine Mail und ohne diese überhaupt gelesen zu haben, öffnet er zunächst den Anhang. Der Anhang jedoch enthält eine Verschlüsselungsdatei – natürlich hat er auch direkt den „Bearbeitungsmodus“ in diesem Word-Dokument aktiviert; die Folgen sind verheerend.
-> Hier kann ein entsprechendes Training weiterbringend sein, um ein Gefühl dafür zu entwickeln, was geöffnet und was nicht geöffnet werden darf.
Sie sehen also – Kommunikation und Wiederholung bzw. Training sind hier absolut notwendig, um präventiv Innentätern entsprechende Gefahrenquellen vorwegzunehmen.
Quelle: Viele der Gedanken hier haben wir aus der Zeitschrift „Datenschutz-Praxis“, Ausgabe November 2021