Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) führt menschliches Versagen in seinem Lagebericht der IT-Sicherheit in Deutschland 2014 als eine der zentralen Bedrohungen auf. Die Europäische Agentur für Netz- und Informationssicherheit (ENISA) konstatierte 2013 in ihrem jährlichen Bericht über Störfälle, dass Menschen das schwächste Glied in der Sicherheitskette bleiben.

Ebenfalls 2013 veröffentlichte das IT-Sicherheitsunternehmen Kaspersky die Ergebnisse einer Studie, derzufolge weltweit 85 Prozent aller Unternehmen mit internen IT-Sicherheitslücken zu kämpfen haben. Aus den genannten Berichten und Studien geht hervor, dass es sich hier insbesondere um ungewollten Datenverlust oder -preisgabe durch eigenes Personal, Softwarefehler und den Verlust oder Diebstahl mobiler Geräte handelt. Bei all diesen Vorfällen ist der Faktor Mensch entscheidend mitverantwortlich. Wie oft kommt es beispielsweise vor, dass Mitarbeiter eines Kreditinstituts sensible Daten an einen falschen Adressaten mailen? Oder dass – häufig durchaus in guter Absicht – private oder firmeninterne, geheime Informationen eines Kunden einem Unberechtigten über das Telefon preisgegeben werden?

Verdrängung und Missachtung

Häufig besteht das Problem aber auch darin, dass Mitarbeiter gar nicht wissen wollen, welche präventiven IT-Sicherheitsmaßnahmen bestehen, um die Systeme und Netze ihres Kreditinstituts zu schützen. Es kommt sogar vor, dass diese Sicherheitsmaßnahmen bewusst missachtet oder aktiv umgangen werden. Ebenfalls bedenklich ist es, wenn Mitarbeiter die IT-Sicherheitsmaßnahmen infrage stellen, missbilligen oder sie als unnütze Zeitverschwendung ansehen.

Hinzu kommt, dass es vielen Instituten an klaren Regeln mangelt, um menschliches Fehlverhalten zu sanktionieren, das zu IT-Sicherheitslücken führt.

Sicherheit bei mobilen Geräten

Grobe IT-Sicherheitslücken können darüber hinaus durch die Verwendung mobiler Geräte wie Smartphones und Tablets entstehen, auf die sich die tägliche Arbeit im Büroalltag zunehmend verlagert. Bei der Kaspersky-Studie gaben viele der Befragten an, dass die IT-Sicherheitsmaßnahmen für diese Geräte Mängel aufwiesen.

Obwohl sie dies erkannt hatten, hatte weniger als die Hälfte von ihnen App-Kontrollen oder zusätzliche Sicherheitsfunktionen aktiviert. Nur ein Viertel verwendete eine Mobilgeräteverwaltung (Mobile Device Management – MDM), um sensible Daten, geschäftliche E-Mails und geheime Informationen vom privat genutzten Bereich zu trennen. Und nur ein Drittel verschlüsselte überhaupt auf mobilen Geräten.

Schaffung einer Sicherheitskultur

Um derartige IT-Sicherheitslücken zu adressieren, arbeiten die Institute bereits seit Jahren daran, eine Sicherheitskultur aufzubauen. Die Sicherheitskultur bestimmt, wie mit Fragen zur Sicherheit umgegangen wird, und spiegelt die Überzeugungen und Werte der Mitarbeiter und der Organisation in Bezug auf die Sicherheit wider. Die Schutzziele der IT-Sicherheit sind in § 25a Kreditwesengesetz in Verbindung mit MaRisk AT 7.2 (Mindestanforderungen an das Risikomanagement) festgelegt. Demnach müssen die IT-Systeme und -Prozesse die Integrität, Verfügbarkeit, Authentizität und Vertraulichkeit der Daten sicherstellen.

Dazu gehören natürlich zum einen präventive IT-Sicherheitsmaßnahmen der Institute. So kann es sinnvoll sein, interne Netzwerke so zu strukturieren, dass schützenswerte Daten und Aktivitäten in voneinander getrennte Segmente aufgeteilt sind. Eine andere Möglichkeit ist, den Zugang zu den IT-Systemen so zu beschränken, dass die Nutzer mehrere unterschiedliche Passwörter verwenden müssen.

Unverzichtbarer Bestandteil einer wirksamen Sicherheitskultur ist darüber hinaus, dass die Institute Regeln festlegen, nach denen Verstöße gegen Sicherheitsbestimmungen sanktioniert werden. Ergänzende Hinweise dazu gibt das BSI in seinem Leitfaden Informationssicherheit. Vor allem aber müssen die Institute ihre Mitarbeiter darin schulen, mit IT-Sicherheitsrisiken umzugehen, und bei ihnen ein Problembewusstsein für die Gefahren und Risiken schaffen. Mehr als 100 Arten menschlicher Fehlhandlungen führt das BSI in seinem Gefährdungskatalog auf – entsprechend groß ist das Verbesserungspotenzial.

Kommunikation und Schulungen

Die BaFin erwartet von den Instituten, dass sie ihre Mitarbeiter für IT-Sicherheitsrisiken sensibilisieren und sie in Fragen der IT-Sicherheit regelmäßig schulen. Die Vermittlung von Antworten auf grundlegende Sicherheitsfragen gehört zu den Aufgaben des IT-Sicherheitsbeauftragten. Die Geschäftsleitung ihrerseits ist in der Pflicht deutlich zu machen, warum es für das Institut angemessen und notwendig ist, Sicherheitsüberlegungen anzustellen, umzusetzen und zu befolgen. Wichtige Informationen dazu hält das BSI ebenfalls auf seiner Internetseite bereit.

Die Mitarbeiter sollten bereits mit IT-Sicherheitsmaßnahmen vertraut sein, bevor sie ihre Tätigkeit aufnehmen. Hier geht es etwa darum, dass sie lernen, ganz automatisch – wie man sich etwa im Auto automatisch anschnallt – genau zu prüfen, wohin sie Daten senden, und nicht wahllos auf eingebettete Links und angehängte Dokumente zu klicken. Was für Experten der IT-Sicherheit selbstverständlich ist, ist es für andere Mitarbeiter noch lange nicht. Bei der Schulung der Mitarbeiter sind daher zunächst die grundlegenden Prinzipien zu erläutern. Auch dazu enthält der Leitfaden Informationssicherheit des BSI einige Hinweise.

Fortbildungen und spezielle Trainings können diese grundlegenden Schulungen ergänzen und vertiefen. Die Palette der Möglichkeiten ist breit gefächert und reicht von einfachen sicherheitsrelevanten Hinweisen über Anti-Phishing-Übungen bis hin zu Sicherheitsworkshops, bei denen Mitarbeiter in die Rolle des Angreifers schlüpfen und selbst lernen, Schwachstellen zu erkennen. Indem man entsprechende Fähigkeiten und Wissen vermittelt, lernen Mitarbeiter, die richtigen Fragen zu stellen.

An dieser Stelle sei eines betont: Jeder Mitarbeiter ist für IT-Sicherheitsfragen zu sensibilisieren – ohne Ausnahmen. Egal, welche Funktion jemand ausfüllt, wo er in der Hierarchie steht, wie alt er ist oder wie lange er bereits im Institut tätig ist: Allen Mitarbeitern muss klar sein, was auf dem Spiel steht, wenn ihr Institut durch ihr Verhalten einem Angriff zum Opfer fällt. Selbst diejenigen, die die Technik nur wenig nutzen, müssen die Bedeutung der IT-Sicherheitsmaßnahmen verstehen und verinnerlichen. Jeder einzelne ist in seinem Arbeitsbereich für den korrekten Umgang mit Informationen verantwortlich und muss zu deren Schutz beitragen.

Balance zwischen Technik und Mensch

Genau wie Webserver im Internet sicher sein müssen, müssen die Institute darauf hinwirken, menschliche Faktoren auszugleichen, die die Sicherheit beeinträchtigen können. Dazu müssen sie verstehen, wie ihre Mitarbeiter sicherheitsrelevante Fehler machen können. Es gilt, parallel zum Sicherheitsbewusstsein das technische Sicherheitssystem zu verbessern – allerdings in angemessener Balance.

Denn es ist wichtig, die IT-bezogenen Zusammenhänge nicht zu verkomplizieren. Um das allgemeine IT-Sicherheitsniveau zu verbessern, kann zwar beispielsweise der Zeitabstand zur Änderung von Passwörtern verkürzt und deren Komplexität erhöht werden. Wenn diese Zeitspanne dann allerdings so gering ist, dass die Mitarbeiter ihre Passwörter regelmäßig vergessen, oder die erhöhte Komplexität dazu führt, dass sie sie mit einem Zettel an der Unterseite der Tastatur befestigen, dann ist der IT-Sicherheit damit nicht gedient. Zielführender kann es sein, eine Zwei-Faktor-Authentifizierung einzuführen. Diese vollzieht sich in zwei Schritten, indem zwei verschiedene, voneinander unabhängige Komponenten miteinander kombiniert werden, zum Beispiel Passwort und Verifizierungscode.

Klare Zuständigkeiten

Eine wichtige Rolle spielen außerdem die Verantwortlichkeiten und Zuständigkeiten. Die Institute sollten der Empfehlung des BSI folgen, regelmäßig zu überprüfen, ob alle Verantwortlichkeiten und Zuständigkeiten eindeutig zugewiesen und praxistauglich sind. In der Praxis neigen die Spezialisten im IT-Bereich dazu, die Vorbeugung und den Umgang mit menschlichem Versagen nicht in ihrem Aufgabenbereich zu verorten. Im Personalwesen sieht man sich jedoch meist ebensowenig in der Verantwortung. Die Zuständigkeit für Aufgaben und Fragen des menschlichen Versagens ist somit völlig unklar.

Daher ist es unabdingbar, alle Zuständigkeiten vollständig und überschneidungsfrei festzulegen. Dies ist umso wichtiger, wenn externe Dienstleister involviert sind. Um klare Zuständigkeiten zu erreichen, kann die Nutzung der MECE-Regel (Mutually Exclusive and Collectively Exhaustive) hilfreich sein, nach der es weder doppelte Zuordnungen geben darf noch zuordnungsfreie Bereiche.

Stellung der Experten für IT-Sicherheit verbessern

Bei Prüfungen in den Instituten stellt die BaFin immer wieder Probleme fest, was das Informationsrisikomanagement und das Benutzerberechtigungsmanagement angeht. Dabei sind diese entscheidend dafür, dass die Sicherheitsanforderungen eingehalten werden, wie auch das BSI in seinem Lagebericht anmerkt. Die MaRisk enthalten darum hierzu in AT 4.3, AT 7.2 und BTR 4 klare Anforderungen.

Ein wichtiger Baustein zur Lösung dieses Problems ist es, die Stellung der Experten für IT-Sicherheit in den Kreditinstituten zu verbessern, etwa indem sie direkt dem Vorstand unterstellt und innerhalb des Unternehmens mit Durchgriffsrechten über alle Hierarchien ausgestattet werden. Insbesondere vor dem Hintergrund, dass sich die Cyber-Bedrohungslage weiter zuspitzt, müssen die Experten für IT-Sicherheit ihre Aufgaben unbedingt umsetzen können – trotz interner Widerstände.

Kombination physikalischer, technischer und menschlicher Faktoren

Zweckmäßige Lösungen zur Erhöhung der IT-Sicherheit, unter Berücksichtigung des Faktors Mensch, sollten eine Kombination menschlicher, technischer und physikalischer Sicherheitsbemühungen sein. Physikalisch sind Vorkehrungen, die die praktischen Sicherheitseinrichtungen betreffen, also beispielsweise den Schutz von Systemen und Netzen vor Elementarereignissen wie Wassereinbrüchen, Bränden und Blitzschlag oder vor Staub, Aerosolen und Korrosion.

Diese Trias kann beispielsweise durch ein Managementsystem für Informationssicherheit hergestellt werden, wie es das BSI vorschlägt. Ein solches Managementsystem regelt etwa die Zuständigkeiten und die Schritte, die für eine kontinuierliche Verbesserung, Planung und Umsetzung der IT-Sicherheitsmaßnahmen notwendig sind. Das BSI merkt dazu an, dass eine Optimierung des Sicherheitsmanagements die Informationssicherheit oft effektiver und nachhaltiger verbessert als Investitionen in Sicherheitstechnik.

Natürlich gibt es auch andere geeignete Ansätze zur Erhöhung der IT-Sicherheit, die die Institute verfolgen können. Ob ein Kreditinstitut ein separates Budget für IT-Sicherheit einrichtet, auf andere Weise ausreichende Mittel für die erforderlichen Maßnahmen bereitstellt oder einen dezidierten Maßnahmenplan entwirft, der auf Punkte wie das systematische Herangehen an Fragen der IT-Sicherheit, Sicherheitserfordernisse und konkrete Sicherheitsmechanismen eingeht: Wichtig ist allein, dass das IT-Sicherheitsmanagement optimiert wird und die Maßnahmen in Hinblick auf die Bedrohungslage geeignet und angemessen sind.