So etwas passiert uns doch nicht.

So etwas passiert uns doch nicht.

Ein Satz, der sich so falsch anfühlt wie Autofahren ohne Gurt. In China gilt es als Zeichen des fehlenden Vertrauens gegenüber dem Taxifahrer, einen Gurt anzulegen. Schön und gut, Ich vertraue dir schon, Mr. 1-Meter-Abstand-muss- reichen. Aber wenn das Schadensausmaß mein Leben ist, ist mir egal ob du glaubst, ich vertraue dir nicht. Ich werde mich vorbereiten.

So etwas passiert uns doch nicht.

Ich bin mir sicher, dass dieser Satz auch von einigen Personen gesagt wurde, die jetzt beatmet werden, oder gar nicht mehr unter uns weilen.

So etwas passiert uns doch nicht.

Sagen Unternehmen, die sich noch nie angesehen haben wie hoch die Wahrscheinlichkeit denn wirklich ist, dass es ihnen einmal passieren wird. Es gibt ja Regeln, und wir haben den MitarbeiterInnen auch mal gesagt, dass sie nicht auf böse Links klicken sollen. Dass sie sich nicht mit der Firmen E-Mail überall registrieren sollen. Dass sie sichere Passwörter verwenden sollen.

Nun, ich habe hier 2 Terabyte Username und Passwort-Kombinationen auf meiner Festplatte liegen die beweisen, dass sich kaum jemand daran hält. Selten bin ich bei Unternehmen unterwegs, zu deren Domain („@unternehmen.xyz“) keine Passwörter finde. In einem meiner Webinare hatte ich einen Teilnehmer von einem Unternehmen, dessen ehemaliger Geschäftsführer mit der Firmen E-Mail in einem Sex-Forum registriert war.

Das mag gute Gründe haben, stellt aber ein nicht unerhebliches Risiko für das Unternehmen dar. So jemand ist erpressbar. Wenn ich überhaupt erpressen muss, weil sein Passwort war auch nicht soooo gut.

Trennung zwischen Privat und Unternehmen verschwimmt

In Zeiten der Pandemie, Home-Office und der generellen Verfügbarkeit ist es kein Wunder, dass auch unsere Accounts immer mehr zwischen

Unternehmens- und privaten Kontexten verschwimmen. Natürlich muss jemand am Abend noch ein Social Media Posting einstellen – so funktioniert Unternehmenskommunikation inzwischen.

Aber dass hier die Person natürlich mit dem privaten Facebook-Account dem Unternehmen hinzugefügt wurde? Bedeutet eigentlich nur, dass die IT-Sicherheit der privaten Accounts nun auch irgendwo im Interesse eines Unternehmens liegen müsste.

Oder, anders gesagt:

Der private Umgang der Belegschaft im Internet hat direkte Konsequenzen für die IT-Sicherheit von Unternehmen.

Wie die IS-Flagge ins Facebook Profil kommt

In meiner Session am HR Inside Summit 2021 werde ich anhand eines – realen – Szenario zeigen, wie der Umgang mit Passwörtern im Privaten direkten negativen Einfluss auf Unternehmen haben kann.

Und – wir sind hier schließlich im Kontext der HR unterwegs – was man als Unternehmen dagegen tun kann.

So viel sei gesagt: Damit sich etwas ändert, müssen wir wohl ein wenig weg von Compliance abfragenden Multiple-Choice Formularen 1 Mal pro Jahr. Die sind natürlich auch wichtig und lustig (am Papier), aber der Sicherheitsgewinn hält sich in Grenzen, würde ich argumentieren.

Über den Autor:

Martin Haunschmid