6
Eine Studie von A10 Networks, zeigt die mangelnde Bereitschaft der Mitarbeiter, Vorsichtsmaßnahmen umzusetzen
Hier ein schöner bericht von IT Business
https://www.it-business.de/mitarbeiter-fuer-mehr-cyber-attacken-verantwo ...
Doch die Zahlen dort kann ich mir gut vorstellen:
Vielen MAs ist es einfach egal. Und wenn der PC/Server dann verseucht ist soll die IT Abteilung es halt richten.
Man ist ja schliesslich wichtig und muss wichtige Dinge tun. Und wenn man dann nicht arbeiten kann, kann man doch
prima bezahlt frei machen.
Stefan
https://www.it-business.de/mitarbeiter-fuer-mehr-cyber-attacken-verantwo ...
Doch die Zahlen dort kann ich mir gut vorstellen:
Vielen MAs ist es einfach egal. Und wenn der PC/Server dann verseucht ist soll die IT Abteilung es halt richten.
Man ist ja schliesslich wichtig und muss wichtige Dinge tun. Und wenn man dann nicht arbeiten kann, kann man doch
prima bezahlt frei machen.
Stefan
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 363779
Url: https://administrator.de/knowledge/eine-studie-von-a10-networks-zeigt-die-mangelnde-bereitschaft-der-mitarbeiter-vorsichtsmassnahmen-umzusetzen-363779.html
Ausgedruckt am: 02.04.2025 um 09:04 Uhr
6 Kommentare
Neuester Kommentar
@StefanKittel:
Nach meinem Bombardement mit Warn-Mails zu Locky & Co. + Nachfolger sind meine Leute vorsichtiger als früher, doch leider nur im Bereich E-Mail.
In anderen Sicherheitsbelangen rede (und schreibe) ich gegen die Wand.
Wir machen gerade Informationssicherheitsmanagement, und dieses besteht nicht nur aus EDV/IT/IuK, sondern auch aus anderen Sicherheitsbelangen. Manche Dinge sind echt erschreckend:
- offene (oder zumindest unverschlossene) Bürotüren, mitunter stundenlang, Dokumente mit geheimen und/oder personenbezogenen Daten aufgeschlagen/offen auf dem Schreibtisch, genauso offene Aktenschränke/Schreibtische während längerer Abwesenheit und offener Tür
- Weitergabe von Passworten an Kollegen
- Passwort-Post-Its am Monitor
- Passwort-Post-Its unter der Tastatur
- private Wechseldatenträger ungescannt benutzen (es ist nicht unmöglich, aber umständlich und mitunter kostspielig, das zu managen)
- private Mails (zumindest der Empfang kann trotz Regelung mittels Betriebsanweisung/Betriebsvereinbarung nicht unterbunden werden)
- privates Surfen (trotz Verbot, zumeist harmlose Seiten, aber manchmal auch gulli.com, da hört der Spaß dann schon auf, bei rechtswidrigen Inhalten á la Pornographie, politischem Extremismus und allgemein STGB sowieso)
Wenn der mögliche Schaden für die Firma so weitgehend ist, daß die Firma echten Schaden erleidet, der die Existenz gefährdet, gefährdet das auch den Job, wird dann gerne vergessen.
Mein Fazit:
Erziehungsmaßnahmen fruchten nur zu max. 20 Prozent, der Rest fällt dann nicht mehr ins Informationssicherheitsmanagement, sondern ins Katastrophenmanagement
.
Viele Grüße
von
departure69
Nach meinem Bombardement mit Warn-Mails zu Locky & Co. + Nachfolger sind meine Leute vorsichtiger als früher, doch leider nur im Bereich E-Mail.
In anderen Sicherheitsbelangen rede (und schreibe) ich gegen die Wand.
Wir machen gerade Informationssicherheitsmanagement, und dieses besteht nicht nur aus EDV/IT/IuK, sondern auch aus anderen Sicherheitsbelangen. Manche Dinge sind echt erschreckend:
- offene (oder zumindest unverschlossene) Bürotüren, mitunter stundenlang, Dokumente mit geheimen und/oder personenbezogenen Daten aufgeschlagen/offen auf dem Schreibtisch, genauso offene Aktenschränke/Schreibtische während längerer Abwesenheit und offener Tür
- Weitergabe von Passworten an Kollegen
- Passwort-Post-Its am Monitor
- Passwort-Post-Its unter der Tastatur
- private Wechseldatenträger ungescannt benutzen (es ist nicht unmöglich, aber umständlich und mitunter kostspielig, das zu managen)
- private Mails (zumindest der Empfang kann trotz Regelung mittels Betriebsanweisung/Betriebsvereinbarung nicht unterbunden werden)
- privates Surfen (trotz Verbot, zumeist harmlose Seiten, aber manchmal auch gulli.com, da hört der Spaß dann schon auf, bei rechtswidrigen Inhalten á la Pornographie, politischem Extremismus und allgemein STGB sowieso)
Und wenn man dann nicht arbeiten kann, kann man doch
prima bezahlt frei machen.
prima bezahlt frei machen.
Wenn der mögliche Schaden für die Firma so weitgehend ist, daß die Firma echten Schaden erleidet, der die Existenz gefährdet, gefährdet das auch den Job, wird dann gerne vergessen.
Mein Fazit:
Erziehungsmaßnahmen fruchten nur zu max. 20 Prozent, der Rest fällt dann nicht mehr ins Informationssicherheitsmanagement, sondern ins Katastrophenmanagement
.Viele Grüße
von
departure69
1
Hallo,
Japp, die mechanische Sicherheit wäre tatsächlich über eine Anweisung zu regeln.
War bei meinem ehemaligen Arbeitgeber der übliche Prozess. Wer sein Passwort nicht rausgerückt hat, wurde gekündigt.
Sehe ich in nicht-öffentlich einsehbaren Bereichen eigentlich "gar nicht mal so kritisch", da Zugriffe auf die IT i.d.R. aus der Ferne erfolgen.
Im Gegenteil: Die "analoge" Speicherung mit dem Medienbruch schafft in meinen Augen sogar zusätzliche Sicherheit. Wobei natürlich eine mechanische und logistische Absicherung gegeben sein muss; bis hin zur Alarmanlage.
Wenn derartige Dinge zum Problem werden, dann hat der Admin gepennt. Ein Benutzer sollte nie mehr Rechte haben, als er benötigt.
Das hat nichts mit Sicherheit zu tun. E-Mails können auch dann unsicher sein, wenn sie nicht privat sind
Grund für das Verbot ist ein anderer: Das Unternehmen ist verpflichtet, E-Mails rechtssicher zu archivieren und hat gleichzeitig sicherzustellen, dass keine privaten Daten von Mitarbeitern im Archiv landen.
Auch hier ist ein Verbot ungefähr so viel Wert wie ein toter Sandfloh in Norwegen. Zum Einen lässt sich das gar nicht abgrenzen, zum Anderen gibt es recht banale technische Lösungen (inklusive Virenscanner).
Das Einzige, was hier im Falle einer Auseinandersetzung Bestand haben dürfte, wären z.B. Verbote von sozialen Netzen. Und da sich diese relativ leicht blockieren lassen (jede Fritz!Box kann das), wird sich der Arbeitgeber vor Gericht anhören dürfen, dass seine "Verbote" offenbar nicht besonders ernst gemeint sind wenn es schon an derartig banalen Schutzmechanismen handelt.
Und genau das gilt für den Administrator: Ich zeige einmalig(!) über einen verbindlichen Weg die Gefahren und Konsequenzen auf und übergebe damit die Verwantwortung. Punktaus. Wer immer wieder aufs Neue eine Diskussion anfängt, signalisiert damit, dass er sich für Dinge verantwortlich fühlt die überhaupt nicht in seiner Entscheidungsbefugnis liegen -> Schön blöd, Don Quichote lässt grüßen.
Gruß,
Jörg
- offene (oder zumindest unverschlossene) Bürotüren, [...]
Japp, die mechanische Sicherheit wäre tatsächlich über eine Anweisung zu regeln.
- Weitergabe von Passworten an Kollegen
War bei meinem ehemaligen Arbeitgeber der übliche Prozess. Wer sein Passwort nicht rausgerückt hat, wurde gekündigt.
- Passwort-Post-Its am Monitor
- Passwort-Post-Its unter der Tastatur
- Passwort-Post-Its unter der Tastatur
Sehe ich in nicht-öffentlich einsehbaren Bereichen eigentlich "gar nicht mal so kritisch", da Zugriffe auf die IT i.d.R. aus der Ferne erfolgen.
Im Gegenteil: Die "analoge" Speicherung mit dem Medienbruch schafft in meinen Augen sogar zusätzliche Sicherheit. Wobei natürlich eine mechanische und logistische Absicherung gegeben sein muss; bis hin zur Alarmanlage.
- private Wechseldatenträger ungescannt benutzen
Wenn derartige Dinge zum Problem werden, dann hat der Admin gepennt. Ein Benutzer sollte nie mehr Rechte haben, als er benötigt.
- private Mails (zumindest der Empfang kann trotz Regelung mittels Betriebsanweisung/Betriebsvereinbarung nicht unterbunden werden)
Das hat nichts mit Sicherheit zu tun. E-Mails können auch dann unsicher sein, wenn sie nicht privat sind
Grund für das Verbot ist ein anderer: Das Unternehmen ist verpflichtet, E-Mails rechtssicher zu archivieren und hat gleichzeitig sicherzustellen, dass keine privaten Daten von Mitarbeitern im Archiv landen.
- privates Surfen (trotz Verbot,
Auch hier ist ein Verbot ungefähr so viel Wert wie ein toter Sandfloh in Norwegen. Zum Einen lässt sich das gar nicht abgrenzen, zum Anderen gibt es recht banale technische Lösungen (inklusive Virenscanner).
Das Einzige, was hier im Falle einer Auseinandersetzung Bestand haben dürfte, wären z.B. Verbote von sozialen Netzen. Und da sich diese relativ leicht blockieren lassen (jede Fritz!Box kann das), wird sich der Arbeitgeber vor Gericht anhören dürfen, dass seine "Verbote" offenbar nicht besonders ernst gemeint sind wenn es schon an derartig banalen Schutzmechanismen handelt.
Und genau das gilt für den Administrator: Ich zeige einmalig(!) über einen verbindlichen Weg die Gefahren und Konsequenzen auf und übergebe damit die Verwantwortung. Punktaus. Wer immer wieder aufs Neue eine Diskussion anfängt, signalisiert damit, dass er sich für Dinge verantwortlich fühlt die überhaupt nicht in seiner Entscheidungsbefugnis liegen -> Schön blöd, Don Quichote lässt grüßen.
Gruß,
Jörg
Hallo!
Angesichts dieser (unser aller) leidvollen Erkenntnisse kann man sich die Umsetzung und Einhaltung der DSGVO bildhaft vorstellen...
Da beginnt der Lernprozess bzw. Aufmerksamkeit des Users erst, wenn aus dem nahen Umfeld ein "Bauernopfer" die knallharten und endgültigen Konsequenzen tragen muss.
Es muss offenbar erst schmerzhaft werden bevor die Leute aufwachen - dennoch wird es immer vehemente Dauerschläfer geben.
Gruß
eisbein
PS Verbote: Denn keiner tut gern tun was er tun darf
Angesichts dieser (unser aller) leidvollen Erkenntnisse kann man sich die Umsetzung und Einhaltung der DSGVO bildhaft vorstellen...
Da beginnt der Lernprozess bzw. Aufmerksamkeit des Users erst, wenn aus dem nahen Umfeld ein "Bauernopfer" die knallharten und endgültigen Konsequenzen tragen muss.
Es muss offenbar erst schmerzhaft werden bevor die Leute aufwachen - dennoch wird es immer vehemente Dauerschläfer geben.
Gruß
eisbein
PS Verbote: Denn keiner tut gern tun was er tun darf
hallo eisbein,
Allein der Punkt "Datenkorrektheit" würde ja bei exakter Befolgung der DSGVO dazu führen, dass viele Unternehmen von heute auf morgen keine Kundendaten mehr haben. ^^
(siehe DSGVO Art. 5 (1) a )
grüße vom it-frosch
Angesichts dieser (unser aller) leidvollen Erkenntnisse kann man sich die Umsetzung und Einhaltung der DSGVO >bildhaft vorstellen...
Die Umsetzung stelle ich mir überhaupt sehr interessant vor.Allein der Punkt "Datenkorrektheit" würde ja bei exakter Befolgung der DSGVO dazu führen, dass viele Unternehmen von heute auf morgen keine Kundendaten mehr haben. ^^
(siehe DSGVO Art. 5 (1) a )
grüße vom it-frosch
1
Hi
auch so ein leidiges Thema den Rechner nicht sperren wenn man den Arbeitsplatz verlässt, es hat sich bei uns bewährt sich dann an den Rechner zu setzen und den "Liebevollen" Hintergrund des Users durch "myLittlePony", "Teletubbies" oder vergleichbares zu ändern, wenn der User damit oft auffällt auch mal ein Mail von deren Rechner an die IT Abteilung schreiben das man diese auf ein Mittagessen einlädt - wirkt wahre Wunder.
Webfilter usw. sollten selbstverständlich sei, alles was nicht in der Firma gewollt ist sollte geblockt werden und auch das die Schutzmechnismen z.B. durch Proxy "unterwandert" werden könnten muss man verhindern.
Wir behandelt das ähnlich wie @fa-jka , es gibt eine Anweisung, die IT Sicherheitsrichtlinie ist intern für jeden erreichbar und in der internen Signatur (die automatisch angehangen wird) steht auch der Hinweis der Sicherheitsbestimmung und wo diese zu finden ist. Predigen kann viel, zuhören und/oder Lesen tun die wenigstens, leider.
Gruß
@clSchak
auch so ein leidiges Thema den Rechner nicht sperren wenn man den Arbeitsplatz verlässt, es hat sich bei uns bewährt sich dann an den Rechner zu setzen und den "Liebevollen" Hintergrund des Users durch "myLittlePony", "Teletubbies" oder vergleichbares zu ändern, wenn der User damit oft auffällt auch mal ein Mail von deren Rechner an die IT Abteilung schreiben das man diese auf ein Mittagessen einlädt - wirkt wahre Wunder
.Webfilter usw. sollten selbstverständlich sei, alles was nicht in der Firma gewollt ist sollte geblockt werden und auch das die Schutzmechnismen z.B. durch Proxy "unterwandert" werden könnten muss man verhindern.
Wir behandelt das ähnlich wie @fa-jka , es gibt eine Anweisung, die IT Sicherheitsrichtlinie ist intern für jeden erreichbar und in der internen Signatur (die automatisch angehangen wird) steht auch der Hinweis der Sicherheitsbestimmung und wo diese zu finden ist. Predigen kann viel, zuhören und/oder Lesen tun die wenigstens, leider.
Gruß
@clSchak
Stichwort: Faulheit
Bei einem großen IT-Systemhaus gab es das Problem, dass viele Daten in den Eigenen Dateien und auf dem Desktop gespeichert haben.
Dadurch kam es zu Datenverlusten, Sicherheitsprobleme und die Dateien war schlicht für andere nicht verfügbar.
Nach vielen hin und her wurde die ganz große Axt rausgeholt (Mit Zustimmung GF).
Mit dem Login- und Logout-Script werden alle Dateien auf dem Desktop und den Eigenen Dateien gelöscht.
Davor gab es mehrere Ankündigungen.
Als das dann aktiv wurde gab es kurz viel Geschrei und dann war gut.
In der Regel bekommt man dafür aber die Zustimmung der GF nicht.
Wäre ein Fall für Herrn Leisch.
Stefan
Bei einem großen IT-Systemhaus gab es das Problem, dass viele Daten in den Eigenen Dateien und auf dem Desktop gespeichert haben.
Dadurch kam es zu Datenverlusten, Sicherheitsprobleme und die Dateien war schlicht für andere nicht verfügbar.
Nach vielen hin und her wurde die ganz große Axt rausgeholt (Mit Zustimmung GF).
Mit dem Login- und Logout-Script werden alle Dateien auf dem Desktop und den Eigenen Dateien gelöscht.
Davor gab es mehrere Ankündigungen.
Als das dann aktiv wurde gab es kurz viel Geschrei und dann war gut.
In der Regel bekommt man dafür aber die Zustimmung der GF nicht.
Wäre ein Fall für Herrn Leisch.
Stefan
