Wenn Stress zum Sicherheitsrisiko wird
Mitarbeitende müssen heute nicht nur die steigende Informationsflut bewältigen, sondern auch ständig vor betrügerischen Mails auf der Hut sein. Statt Informationssicherheit als konstante Bedrohung zu thematisieren, sollten Unternehmen versuchen, ihre Mitarbeitenden zu entlasten.
«Der Mensch ist die Schwachstelle Nummer eins.» Diesen Satz hören viele Angestellte im heutigen Arbeitsumfeld immer häufiger. Schlagzeilen gibt es zuhauf: Datenlücken, Lösegeldforderungen, Stillstände in Fabriken. «Schuld» sind oftmals Angestellte, die im E-Mail-Posteingang einen falschen Link öffnen oder auf die falsche Mail antworten.
Die Rede ist dabei von Social Engineering. Der Ausdruck bezeichnet eine Methode für Cyberkriminelle, über Angestellte eines Unternehmens Zugang zu vertraulichen Informationen zu erhalten – meist über Phishing-E-Mails. Social Engineering gehört heute zu den grössten Bedrohungen für Unternehmen. So investieren diese in Cybersecurity-Trainings für die Belegschaft, stellen zig Verhaltensregeln auf oder versenden sogar fingierte Phishing-Mails, um «Awareness» zu schaffen und ihre Angestellten auf die Probe zu stellen.
Der Posteingang als Stressfaktor
Trotzdem hat die Erfolgsrate von Phishing- und Spear-Phishing-Attacken über die letzten Jahre zugenommen. Die Vermittlung von Grundlagen zur Erkennung bösartiger E-Mails ist eine Sache, aber noch wichtiger ist es, genau zu verstehen, was die Mitarbeitenden dazu bewegt, auf die Links von Phishing- und Betrugs-E-Mails zu klicken. Gemäss diversen Studien existieren verschiedene begünstigende Attribute, etwa das Geschlecht oder das Alter. Doch es gibt auch andere Faktoren wie Unkonzentriertheit, Erschöpfung und Stress.
Das E-Mail-Postfach ist Dreh- und Angelpunkt im Arbeitsalltag vieler Angestellter. Jährlich steigt das Volumen versendeter und empfangener Mails, besonders seit Beginn der Pandemie. Dementsprechend fordernd, gar stressig ist der tägliche Umgang mit dem E-Mail-Postfach. Studien belegen, dass ein hohes E-Mail-Volumen die psychische Belastung und die Entwicklung negativer Emotionen erhöht. Darüber hinaus wirkt sie sich auf die Leistung der Mitarbeitenden bei arbeitsbezogenen Aufgaben aus, wodurch das Stresslevel weiter steigt.
Druck durch Cyberbedrohungen
Hinzu kommt der psychische Druck, den Angestellte aufgrund steigender Cyberbedrohungen erleben. Sie sehen sich als «latente Gefahr», als Einfallstor für Cyberkriminelle. Die Pandemie zwang sie, von zuhause aus zu arbeiten, wahrscheinlich in einer nicht so sicheren Netzwerkumgebung wie im Büro – was den Druck, die richtigen Entscheidungen zu treffen, weiter erhöhte. Nicht zuletzt erfahren Angestellte Druck durch Schlagzeilen in den Nachrichten sowie im Rahmen firmeninterner Memos oder Awareness Trainings. Dieser mentale Stress führt nicht nur zu einer ungesunden Arbeitskultur, er verleitet auch vermehrt zu Fehlern. Fehler, die das ganze «Awareness-Training» in Sekundenschnelle zunichtemachen können. Mit nur einem Klick.
Entlastung der Mitarbeitenden als Sicherheitsmassnahme
Die Frage drängt sich auf, ob und wie Unternehmen ihre Cybersecurity-Strategie überdenken sollten – mit dem Ziel, sich mit den tatsächlichen, zugrunde liegenden Faktoren zu befassen, die Schwachstellen verursachen. Es ist die Aufgabe der Unternehmen sowie der Unternehmensführung, die richtigen Bedingungen für ihre Mitarbeitenden zu schaffen. Das bedeutet, Lösungen zu finden, die die Sicherheit der Mitarbeitenden und der Unternehmensassets erhöht, ohne dabei den Stress des Einzelnen zu steigern.
----------
Wir setzen darauf, dass die Mail-Flut vertrauenswürdig wird
Die wachsende E-Mail-Flut verursacht Stress bei Mitarbeitenden. Deshalb sollte die Inbox in Bezug auf Arbeitsorganisation besonderes Augenmerk erhalten, um Phishing zu vermeiden, das Nutzer zusätzlich belastet. SEPPmail-COO und Sales/Channel Manager Philipp Bachmann spricht über seine Erfahrungen mit Antivirus-/Anti-Spam-Lösungen. Interview: Colin Wallace, Redaktion: Marc Landis
Inwiefern hat der Mensch als «First Line of Defense» gegen Phishing ausgedient?
Philipp Bachmann: Gar nicht, würde ich sagen. Mitarbeitende haben in der Regel ein gutes Bauchgefühl und verfügen über gesunden Menschenverstand. Sie merken, wenn etwas faul ist, beziehungsweise im Zusammenhang mit Phishing etwas mit einer E-Mail-Nachricht nicht stimmt. Wer genau hinschaut, kann etwa erkennen, wenn eine Rechnung eines bestimmten Absenders plötzlich sehr viel höher ist als normalerweise. Der Mensch ist nach wie vor ein wichtiger Faktor, wenn es darum geht, Phishing zu erkennen. Aber durch zunehmenden Druck und Stress bei der Arbeit ist manchmal die Aufmerksamkeit der Mitarbeitenden herabgesetzt. Das belegt auch unsere Studie. In solchen Momenten kann die automatisierte Erkennung von potenziell gefährlichen Nachrichten helfen und Nutzende etwa darauf aufmerksam machen, wenn die E-Mail-Signatur fehlt oder eine Nachricht, die sonst immer von intern kommt, plötzlich von einem externen Server aus verschickt wird. Ob der Mensch die first, middle oder last line of defense ist, steht meiner Meinung nach nicht im Vordergrund. Denn für eine gute Cybersecurity-Strategie braucht es einen aufmerksamen Menschen am Computer und State-of-the-Art-Software, die gefährliche E-Mails erkennt. Nur in diesem Zusammenspiel können Angriffe konsequent abgewehrt werden.
Sie sagten, dass Druck und Stress bei der Arbeit Phishing-Angriffe begünstigen. Warum sind Büroangestellte heute mehr gestresst als früher?
Ein Grund ist sicherlich, dass die Flut an E-Mails in den vergangenen Jahren massiv zugenommen hat. Wenn Mitarbeitende dann schnell, schnell E-Mails abarbeiten, kann es passieren, dass eine Phishing-E-Mail nicht als solche erkannt wird. Insbesondere wenn als «Absender» vielleicht der eigene CEO auftritt. Verstärkt werden kann der Effekt der verminderten Aufmerksamkeit paradoxerweise auch durch andauernde Awareness Trainings. Sie sollten Mitarbeitende eigentlich dafür sensibilisieren, Phishing oder CEO-Fraud etc. zu erkennen. So steigt das Stresslevel in dem Moment, in dem das Postfach geöffnet wird. Das normalerweise vorhandene gesunde Bauchgefühl ist dadurch gemindert oder komplett ausgeschaltet. So kann man keine guten Entscheidungen treffen.
Welche Rolle spielt die fortschreitende Digitalisierung in diesem Zusammenhang?
Die Digitalisierung hat das Potenzial, Mitarbeitende enorm zu entlasten. Bei einer guten Umsetzung sehen wir positive Effekte bis hin zu einer «besseren» Mailbox – da diese übersichtlicher wird, indem viele Informationen konkreter auf Plattformen und in File-Systemen hinterlegt werden können. Wird die Digitalisierung hingegen nicht strukturiert eingesetzt, läuft man Gefahr, dass sich die Mitarbeitenden verzetteln. Informationen und Nachrichten sind in verschiedenen Systemen verteilt – E-Mails, Chats, Videokonferenzen, soziale Medien – und dieses Problem, der schnellen, wenig integrierten Umsetzung hat während der Pandemie eher zugenommen.
Welche konkreten Massnahmen können Unternehmen ergreifen, um ihre Mitarbeitenden zu entlasten?
Wir setzen darauf, dass die Mail-Flut zumindest vertrauenswürdig wird und möchten so den Stress reduzieren. Durch klar identifizierbare Absender, gesicherte Übertragung und den Einsatz intelligenter Filter, die Viren und Spam erkennen, unterstützen wir die Organisation, sich im Mailverkehr sicher zu fühlen. Seit wir bei SEPPmail unsere eigene entsprechende Lösung verwenden, habe ich praktisch keinen Schrott mehr in meiner Inbox. Indem man die Anzahl E-Mails reduziert und gleichzeitig die Qualität der erhaltenen E-Mails erhöht, kann man die Mitarbeitenden vom E-Mail-Stress entlasten.
Die Redaktion verabschiedet sich in die Weihnachtspause
Wie Betrüger mit gefälschten Gutscheinen Weihnachten ruinieren
US-Behörden erwägen TP-Link-Verbot
Das sind die Top-Referenten der Swiss Cyber Security Days 2025
Swiss CISO Awards: Was eine gute CISO auszeichnet
Phisher umgehen Spamfilter mit Google Kalender
Meta erhält 251 Millionen Euro Busse
Wenn die Weihnachtsfeier aus dem Ruder läuft
Diese Themen bleiben 2025 zentral für Unternehmen
