So wirken sich Datenlecks auf die Motivation Ihrer Mitarbeiter aus

So kann sich die Motivation Ihrer Mitarbeiter nach einem Datenleck verändern.

Welche Konsequenzen haben Datenlecks für Mitarbeiter? Um diese Frage beantworten zu können, werfen wir zunächst einen Blick auf die Ursachen derartiger Vorfälle, die meiner Erfahrung nach häufig auf der Nachlässigkeit und Verantwortungslosigkeit der Mitarbeiter oder einem ineffektiven Management beruhen. Mit anderen Worten: der Faktor Mensch spielt bei allen Ursachen meist eine wichtige Rolle.

Wenn Mitarbeiter keine Verantwortung übernehmen

Wenn Sie Mitarbeiter danach fragen, welche Workflow-Änderungen ihnen dabei helfen würden, ihre Produktivität und Arbeitszufriedenheit zu steigern, fällt die Antwort meist immer gleich aus: Viele Arbeitnehmer möchten ungestört und nach ihren eigenen Vorgaben arbeiten. Dazu gehört beispielsweise das Gewähren von Administratorrechten auf dem eigenen Computer, um beliebige Software zu installieren und nach eigenem Ermessen Zugriff auf die Daten und Systeme des Teams zu gewähren. Auch die Einladung von Gästen ins Büro steht bei vielen Mitarbeitern auf der Wunschliste.

Gleichzeitig ist aber niemand wirklich dazu bereit, die Verantwortung für das zu übernehmen, was er/sie will oder für zweckmäßig hält. Viele Mitarbeiter (und manchmal auch ihre Manager) sind selbstgefällig und glauben, dass ihnen wie durch eine magische Hand Schutz geboten wird. Sie sind der Annahme, dass, egal was sie tun, magische Assistenten bereitstehen, um ihren Tag zu retten. Natürlich geben wir Experten für Cybersicherheit immer unser Bestes, um Benutzer zu schützen, aber auch wir sind nicht allmächtig.

Schlechte Entscheidungen seitens des Managements

Die zweite Ursache für die schwerwiegendsten Vorfälle ist im Großen und Ganzen ein ineffektives Geschäftsprozessmanagement – in diese Kategorie fallen auch die Handlungen bzw. die Passivität von Informationssicherheits- und IT-Mitarbeitern. Ein Unternehmen, das sich ernsthaft mit dem Thema Cybersicherheit befasst, erleidet unwahrscheinlich einen größeren Schaden, wenn ein Mitarbeiter ein USB-Flash-Laufwerk mit einer infizierten Datei mit dem Computer verbindet oder eine E-Mail mit einem schädlichen Anhang oder einer schädlichen URL öffnet. In jedem Fall muss eine Fehlerkette in der richtigen Kombination gegeben sein:

  • Fehler wurden durch schlecht organisierte Geschäftsprozesse ermöglicht;
  • Die Richtlinien der Informationssicherheit wurden missachtet;
  • Informationssysteme oder Infrastrukturdienste enthielten unentdeckte oder nicht gepatchte Schwachstellen;
  • Systeme waren zu komplex, was zu einem Mangel an Ressourcen führte, die für eine sichere Konfiguration, ein zeitnahes Patch-Management und die Implementierung von Sicherheitsmaßnahmen erforderlich waren;
  • Die Sicherheitsabteilung war nicht dazu in der Lage den Vorfall vor der Schadensverursachung zu identifizieren (aufgrund fehlender Fähigkeiten oder Möglichkeiten).

Jeder dieser Faktoren ist die Folge einer Entscheidung. Die Gesamtursache des Vorfalls ist jedoch eine Kombination all dieser Faktoren. Wie sich ein solcher Vorfall auf die Motivation der Mitarbeiter auswirkt, hängt weitgehend von der Reaktion des Managements ab – und manchmal können die Maßnahmen, die ein Unternehmen trifft, um das Wiederauftreten solcher Vorfälle zu verhindern, viel mehr Schaden anrichten als der Vorfall selbst.

Hier ein Beispiel aus der Praxis: Ein Bankinstitut wurde immer wieder mit Vorfällen konfrontiert, die sowohl auf externe Angriffe als auch auf Fehler der Mitarbeiter zurückzuführen waren. Die Folge waren vermehrte Systemausfälle der Bank. Um die verantwortliche Abteilung zu motivieren und die Schuldigen zu bestrafen, veranlasste das Management mehrere Entlassungen seiner IT- und Infosec-Mitarbeiter. Gleichzeitig stellte das Management, mit dem Wissen, dass das automatisierte Bankensystem architektonische Schwachstellen aufwies, kein Budget zur Verfügung, um ein neues System zu erstellen oder das alte zu reparieren. Erfahrene Mitarbeiter wiesen vermehrt darauf hin, dass Fehler jederzeit möglich sind, woraufhin sich das Unternehmen dafür entschied, neue Mitarbeiter einzustellen, anstatt das grundlegende Problem zu beheben. Den neuen Mitarbeitern fiel es jedoch schwer, Verständnis für das firmenintern entwickelte System des Unternehmens zu entwickeln, woraufhin sie noch mehr Fehler machten und mehr Zeit mit der Wartung der Systeme verbrachten, da ihnen wesentliche Kenntnisse fehlten. Viele Kunden verließen die Bank, die von ihrer Position in den Top 50 auf einen Platz im 200er-Rang abrutschte.

Das können Sie tun

Meiner Meinung nach ist es wichtig, Ihre Mitarbeiter zu motivieren, nicht zu demotivieren. Helfen Sie ihnen deshalb, ihre Verantwortung und die Unternehmenswerte zu verstehen.

Die Infosec-Regeln für Unternehmen müssen einfach und spezifisch erläutern, was erlaubt ist, was nicht und was die Mitarbeiter im Falle eines Cybervorfalls tun müssen. Die Teamleiter müssen ihren Mitarbeitern Informationen klar mitteilen und während und nach einem Cyberunfall das Problem und seine Folgen erläutern. Dies trägt zur Aufrechterhaltung einer gesunden Teamatmosphäre bei und kann dem Unternehmen helfen, die Wiederholung gleicher Fehler zu vermeiden.

Hier einige Tipps:

  •  Schulen Sie Ihre Mitarbeiter, um ihnen zu zeigen, wie Fehler vermieden werden können;
  • Motivieren Sie Ihre Mitarbeiter;
  • Erstellen Sie klare Informationssicherheitsregeln in Ihrem Unternehmen – und Maßnahmen, um diese in Aktion zu bewerten;
  • Setzen Sie Tools zur Vorfallserkennung und -reaktion ein;
  • Implementieren Sie Systeme zum Schutz vor Fehlern und fehlerhaftem Verhalten;
  • Überprüfen Sie regelmäßig die oben genannten Maßnahmen, um die Wahrscheinlichkeit zu verringern, dass jemand denselben Fehler zweimal macht.

Für weitere Informationen über den „Faktor Mensch“ bei Cybersicherheitsvorfällen, können Sie hier einen Blick auf unseren jüngsten Bericht werfen.

Tipps