Sicherheit im digitalen Zeitalter: Strategien gegen unternehmensinterne Cyberbedrohungen

Studien gehen bei 60 Prozent der Cyberkriminalität-Vorfälle von sogenannten Kritischen Informationstechnologie-Insidern (KITI) aus. Eine Macht- oder Schlüsselposition wird ausgenutzt. Um das Risiko solcher Cyberbedrohungen zu minimieren, können Unternehmen und vor allem ihre Mitarbeitenden einiges beachten. Eine Expertin erklärt, wo das Problem liegt und welche Lösungen bestehen.

Spion:innen und Cyberkriminelle sind auch hierzulande auf der Jagd nach vertraulichen Informationen und geschützten Technologien wie patentierten Erfindungen, Forschungsprojekten oder proprietären Softwarelösungen. Die Schweiz ist als hoch entwickelte Wirtschaftsnation ein begehrtes Ziel für Angriffe. Neben der geopolitischen Lage und der internationalen Verbindungen gibt es zahlreiche weitere Faktoren, die sie besonders attraktiv machen. Doch Unternehmen können sich schützen – «Fokus» zeigt wie.

Mitarbeitende dürfen sich nicht manipulieren lassen

Eine seit Jahrtausenden bekannte und häufige Taktik von Angreifer:innen ist das Social Engineering – auf Deutsch «soziale Manipulation». Dabei handelt es sich um eine zwischenmenschliche Beeinflussung mit dem Ziel, ein bestimmtes Verhalten beim Gegenüber hervorzurufen, um es zum Beispiel zur Freigabe vertraulicher Informationen oder Finanzmittel oder zum Kauf eines Produktes oder einer Dienstleistung zu bewegen.

Schulungen und Sensibilisierungsprogramme können Mitarbeitende auf verdächtiges Verhalten aufmerksam machen und über die Risiken von Spionage informieren. Schulungen können ihnen helfen, Anzeichen – sogenannte Frühwarnhinweise – zu erkennen und angemessen darauf zu reagieren. «Letztlich ist die Ausbildung des Menschen das Wichtigste», erklärt die Expertin Sonja Stirnimann. «Wir sind das stärkste, aber eben auch das schwächste Glied.» Einerseits brauche es eine Sensibilisierung, dass es zu solchen Angriffen kommen kann. Andererseits könnten Mitarbeitende in sehr praxisbezogenen Schulungen aus Fallbeispielen anderer Unternehmen lernen. Solche Fallbeispiele legt Stirnimann in ihrem Buch «Der Mensch als Risikofaktor bei Wirtschaftskriminalität» dar. Sie sollen Unternehmen in Krisensituationen helfen, den Schaden zu minimieren und die Reputation aller Betroffenen zu schützen.

Was die Buchautorin kritisch beobachtet, ist die Verbreitung von Phishing-Kampagnen ohne vorgängige Sensibilisierung und angesichts mangelnder Fehlerkultur. «Wenn Unternehmen ihre Mitarbeitenden diesen sehr wichtigen Kampagnen unvorbereitet – im Sinne von fehlender Sensibilisierung und Ausbildung – aussetzen, hinterlassen sie oft ein schlechtes Gefühl und erzeugen Verunsicherung. Ziel muss sein, die Mitarbeitenden zu befähigen, das Unternehmen zu schützen.» Oft werde dieses gross vorhandene Potenzial für den Schutz des Unternehmens zu wenig ausgenutzt. «Mit gezielter strategischer Prävention lässt sich das Risiko wesentlich reduzieren und den Schutz sensibler Daten erhöhen», bekräftigt Stirnimann.

Menschlich sei, dass oft erst nach einem Vorfall präventive Massnahmen ergriffen würden. «Davor gehen die Verantwortlichen nach wie vor gerne davon aus, dass sie ohnehin nicht interessant genug und somit keine Zielscheibe für solche Angriffe sind. Die Argumente sind so vielfältig wie die Unternehmen selbst.» Dabei sei es essenziell, dass sich die Verantwortlichen ihrer individuellen Risiken bewusst sind.

Vorsicht vor «Biases» bei der Rekrutierung

Bei der Rekrutierung neuer Mitarbeitenden und insbesondere in Schlüsselfunktionen wie auch bei der Zusammenarbeit mit externen Partnern sollten Unternehmen gründliche Abklärungen durchführen. Sie müssen sicherstellen, dass diese Akteure vertrauenswürdig sind und keine potenzielle zusätzliche Sicherheitsbedrohung darstellen. «Diplome und Zeugnisse werden nicht immer mit der notwendigen professionellen Skepsis geprüft. Die richtigen Fragen, was die Integrität einer Person betrifft, ist von grosser Relevanz. HR-Abteilungen können hierbei eine grosse Unterstützung sein, wenn sie ihre Aufgaben ausweiten. Auch hier sehe ich materielle qualitative Unterschiede und das Potenzial ist gross», so Stirnimann.

Verantwortliche müssen sich darauf abstützen können, dass das Auswahlverfahren ihren Ansprüchen an Unternehmensintegrität entspricht. Immer wieder fällt auf, dass bei Personen, welche (medial) eine gewisse Followerschaft haben, die Überprüfung solider Referenzen und Auskünfte im Rahmen des Rekrutierungsprozesses weniger vertieft stattfinden. «Wir Menschen lassen uns nicht selten blenden. Bereits das Bewusstsein und die Akzeptanz unserer eigenen Biases hilft, das nächste Mal diese mitzuberücksichtigen», erklärt Stirnimann.

Mit professioneller Skepsis und gesundem Menschenverstand dagegen ankämpfen

Wie kommt es überhaupt zu Betrug? Sonja Stirnimann nennt als Vereinfachung das sogenannte Fraud-Dreieck, das aus Gelegenheit, Motiv und Rechtfertigung besteht. Was am Schluss ausschlaggebend dafür war, dass jemand die Vorteile ihrer Position ausnutzt, sei mannigfaltig.

Grundsätzlich rät die Expertin zu einer professionellen Skepsis und Vertrauen in unseren gesunden Menschenverstand. Gepaart mit dem Wissen, welche Modi Operandi von Fraud-Muster es gibt – und da gehört die Thematik der Cyberkriminalität genauso rein wie der Anlagebetrug eines Ponzi-Schemas. Ohne dies fehle bei den Mitarbeitenden oft der Mut, einem unguten Bauchgefühl nachzugehen. «Mitarbeitende kündigen eher, als dass sie ein auffälliges Verhalten oder eine Unregelmässigkeit melden.» Wichtig sei vor allem die gelebte Unternehmensintegrität, Compliance ist nur einer der Bestandteile davon. Chefinnen und Teamleiter sollen sich ihre Vorbildfunktion immer wieder ins Bewusstsein rufen und tun gut daran, die Werte des Unternehmens tagtäglich vorzuleben. So könnten die Unternehmensintegrität gefördert und Vertrauensmissbräuche reduziert werden. Zahlreiche Unternehmen profitieren von diesem strategischen Wettbewerbsvorteil in vieler Hinsicht.