Virus in Bewerbung: Der größte Unsicherheitsfaktor ist immer noch der Mensch!

Es ist schon verrückt: Da kauft man sich eine der besten Firewalls, um zu verhindern, dass jemand auf das firmeninterne Netzwerk zugreifen kann, installiert auf jedem Rechner Virenscanner und trotzdem wird man getroffen. Zum ersten Mal in 18 Jahren hat uns ein Computervirus den Morgen kaputt gemacht!140204_Heiko_Business

Wie kam es dazu? Eine Analyse aus personalwirtschaftlicher Sicht!

In einer Studie von Proofpoint, die im Juni 2016 veröffentlicht wurde, kam sehr deutlich heraus, dass von 25 Mails mit bösartigem Inhalt, eine von den Nutzern angeklickt wird. Hierbei gibt es keinen Unterschied im Hinblick auf die Unternehmensgröße: Selbst bei Kleinstunternehmen, wo der Chef noch direkten Einfluss auf die Arbeitsweise seiner Mitarbeiter hat, ist die Klickrate nicht 0. Das zeigt, dass man sich als Unternehmensverantwortlicher und/oder Entscheider sehr stark dem Unsicherheitsfaktor Mensch bewusstwerden muss.

Als letzte Woche die Meldung durch die Gazetten ging – erst online, dann am nächsten Tag auch in der Print-Version –, dass sich ein Virus in einer „normal“ aussehenden Mailbewerbung versteckt, war es bei uns schon passiert. Wir erhalten am Tag teilweise bis zu 200 Bewerbungen, sodass eine Bewerbung an eine persönliche Mailadresse gesendet, nicht wirklich Zweifel aufkommen ließen. Das anhängende Dokument war sogar personalisiert abgespeichert, d.h. die Datei enthielt den Namen des Ansprechpartners und bezog sich auf eine konkrete Position.

Der Mitarbeiter, der es „wie gewohnt“ geöffnet hat, ist tatsächlich noch einer der versiertesten Benutzer des Computers und von daher hätte er bei einer „Risikobewertung“ sehr gut abgeschnitten. Dennoch hat genau dieser Mitarbeiter das Makro aktiviert, was dazu geführt hat, dass sein Rechner verschlüsselt wurde und er fast einen Tag ausgefallen ist, um seine Daten zu retten bzw. den Rechner neu aufzuspielen.

Unser Glück als Unternehmen war, dass das Netzwerk aufgrund seiner besonderen Struktur nicht infiziert wurde und sensible Daten ohnehin zusätzlich abgesichert sind.

Dennoch gilt es daraus zu lernen. Was kann man tun, um den Faktor „Mensch“ in sein Sicherheitskonzept zu integrieren? Wie kann man das Thema „Risikobewusstsein“ den Leuten näherbringen? Wie bekommt man die Routine aus den Köpfen und erhöht die Sensibilität auch beim Alltäglichen?

Letztlich ist es so, wie bei jeder anderen Sicherheitsunterweisung auch: Nur, wenn der Mitarbeiter sich der täglichen Gefahr bewusst ist, wird er entsprechend überlegt vorgehen.

Klassische Arbeitsunfälle passieren an von Natur aus riskanten Arbeitsplätzen in aller Regel den Mitarbeitern, die jeden Tag an diesem Arbeitsplatz arbeiten und denjenigen, denen „noch nie etwas passiert ist“. Hier fehlt einfach das Bewusstsein dafür, dass überhaupt etwas passieren kann. Deshalb schwindet hier auch die Aufmerksamkeit nach und nach in einem schleichenden Prozess bis zu einem Punkt, an dem mal wieder etwas passiert.

Hierbei ist spannend, dass das noch nicht einmal dem Mitarbeiter selbst passieren muss: Es reicht für eine Verbesserung der Unfallstatistik im Nachgang, dass man „betroffen“ ist. D.h. es ist etwas passiert, was emotional berührt. In den meisten Fällen ist das ein Kollege, den man persönlich gekannt hat. Obwohl dieser genauso versiert auf seinem Arbeitsplatz war, wie man selbst, hat dieser sich verletzt. In den Wochen danach ist jeder wieder so sensibel, dass in aller Regel kein weiterer Unfall passiert.

Aber muss es soweit kommen? Muss sich wirklich erst jemand verletzen, dass sich in der Folge niemand mehr verletzt? Oder bezogen auf unseren Fall: Muss erst jemand Opfer eines Virusangriffs werden, damit alle anderen in Zukunft etwas mehr darauf achten, wie sie den Anhang öffnen?

Ich denke nicht. Hier muss man die Leute im Vorfeld einfach auf andere Art und Weise „betroffen“ machen. Man muss Schwachstellen konsequent ausschalten und ins Bewusstsein rücken. Dazu muss man auch Kontrollmechanismen einführen.

Wir werden in Zukunft „Testmails“ verschicken, die einen Anhang enthalten, der potenziell gefährlich ist. Mitarbeiter, die diesen öffnen, erhalten eine Meldung im Sinne von „Wäre das ein echter Virus gewesen, wäre Ihr Rechner jetzt infiziert“.

Alleine schon die Ankündigung wird helfen, da bin ich mir sicher.

Eines dabei ist jedoch ganz wichtig, wenn man sich zu einem solchen Schritt entschließt: Das Lob für richtiges Verhalten muss im Vordergrund stehen, das bedeutet, dass all diejenigen, die den Anhang nicht geöffnet haben, auch ein Lob für korrektes Verhalten bekommen. Mitarbeiter, die mitdenken, müssen auch wissen, dass man das wertschätzt. Mitarbeiter, die Defizite haben, braucht man im Zweifel noch nicht einmal darauf aufmerksam zu machen. Wenn sie diese Meldung sehen, wird dies bei ihnen in aller Regel dazu führen, in Zukunft vorsichtiger zu sein.

Was meinen Sie dazu? Haben Sie noch eine weitere Idee?

Dann lassen Sie es mich bitte wissen!

Herzliche Grüße

Heiko Banaszak