Security Awareness

Die „Schwachstelle Mensch“ gilt als einer der größten Risikofaktoren für die IT-Sicherheit von Unternehmen. Das Problem: Vielen Mitarbeitern mangelt es sowohl an technischem Grundwissen als auch am Gespür für Bedrohungen aus dem Internet. Unser Appell: Schulen Sie die Security Awareness!

Was es mit der Security Awareness auf sich hat, lesen Sie bei uns.

Es ist leider so: Eine gute Sicherheitsstrategie und die entsprechende technische Ausstattung reichen nicht aus, um die IT-Sicherheit eines Unternehmens zu gewährleisten. Vielmehr muss jeder einzelne Anwender innerhalb eines IT-Netzwerkes die Sicherheitsstrategie verinnerlichen und über ein gewisses Grundwissen darüber verfügen, wie mit IT-Systemen umzugehen ist und wie es sich sicher im Internet bewegen lässt.

Denn: Oft sind es Mitarbeiter, die Gefahren aus dem Internet nicht erkennen und durch ihr unachtsames Verhalten dafür sorgen, dass Daten in die falschen Hände geraten oder Systeme durch Malware kompromittiert werden. Der Mensch als vermeintlich schwächstes Glied der Sicherheitskette wird genau deshalb zum erklärten Ziel der Angreifer – und zu einem der größten Risikofaktoren für die IT-Sicherheit eines Unternehmens. Der Fachbegriff dafür lautet Social Engineering.

Das Problem: Durch die zunehmende digitale Vernetzung eröffnen sich den Cyberkriminellen viele Möglichkeiten, in kurzer Zeit Millionen von potenziellen Opfern zu erreichen.

Aber wie können Sie diesen Risikofaktor innerhalb Ihres Unternehmens in den Griff bekommen? Das Stichwort lautet: Security Awareness. Mit diesem Begriff ist das Bewusstsein des Menschen für mögliche Bedrohungen für IT-Systeme gemeint. Und dieses Bewusstsein lässt sich durch eine Sensibilisierung schulen. Oder anders gesagt: Die Mitarbeiter eines Unternehmens entwickeln einen Riecher für potenzielle Gefahren – und werden sozusagen zu einer wichtigen Barriere in Sachen Cyber-Sicherheit.

Viele Unternehmen haben dies glücklicherweise bereits erkannt. Im Bericht zur Lage der IT-Sicherheit in Deutschland 2021 des BSI heißt es, dass 81 Prozent der Unternehmen vor und während der Corona-Pandemie in Awareness-Maßnahmen investiert und ihre Mitarbeiter für Cybersicherheit sensibilisiert haben.

Allerdings reicht die alleinige Schulung nicht aus. Vielmehr müssten Unternehmen auch regelmäßig den Ablauf bei Cyber- und IT-Notfällen üben – und das setzen bisher nur 24 Prozent der befragten Unternehmen um. Diesbezüglich gibt es also noch deutlichen Nachholbedarf. Aktionen wie der European Cyber Security Month machen demnach weiterhin Sinn.

Der European Cyber Security Month – abgekürzt ECSM – soll Privatleute, Organisationen und Unternehmen gleichermaßen für Themen der Cyber-Sicherheit sensibilisieren. Seit 2013 findet er unter Federführung der IT-Sicherheitsbehörde ENISA jedes Jahr im Oktober statt.

Letztlich ist die Botschaft alle Jahre wieder diese: Cyber-Sicherheit ist eine Gemeinschaftsaufgabe. Das ist auf gesellschaftlicher Ebene der Fall, aber genauso auf unternehmerischer Ebene. Denn: Damit das gesamte Unternehmen sicher ist und, von Bedrohungen unbehelligt, effizient arbeiten kann, muss jeder Einzelne wachsam gegenüber den wachsenden Bedrohungen durch Cyberkriminalität sein.

Anders gesagt: Security Awareness und Cyber Awareness sind entscheidende Aspekte für den Unternehmenserfolg. Versäumen Sie es nicht, Ihre Mitarbeiter ins Boot zu holen – nur ein falscher Klick auf den Anhang einer Bewerbungsmail kann die Existenz des gesamten Unternehmens gefährden. Beispiele dafür: Ordinypt Wiper und GermanWiper.

Aber wie lassen sich Mitarbeiter ganz konkret mit ins Boot holen, wenn es um die IT-Sicherheit geht? Wir geben Ihnen in dieser Sache vier Tipps mit auf den Weg:

1. Sie planen, neue Sicherheitsprogramme in Ihrem Unternehmen zu implementieren? Dann lassen Sie sie durch Ihre Mitarbeiter testen! So lassen sich Schwachstellen und spezielle Bedürfnisse entdecken.
2. Investieren Sie in Security-Awareness-Trainings für Ihre Mitarbeiter, damit bei jedem Einzelnen bei Bedrohungen aus dem World Wide Web die Alarmglocken schrillen.
3. Machen Sie Security Awareness zu einem ständigen Thema – zum Beispiel durch Kampagnen, die auf eine gute Cyber-Hygiene hinweisen, durch die Ernennung von Cyber-Beauftragten innerhalb der verschiedenen Teams oder durch ein Belohnungsprogramm für die Meldung von verdächtigten Auffälligkeiten.
4. Üben Sie regelmäßig den Ablauf bei Cyber- und IT-Notfällen. Dadurch wissen die Mitarbeiter genau, was im Ernstfall zu tun ist, können unverzüglich reagieren und den Angriff möglicherweise noch rechtzeitig abwehren.

Mit diesen Maßnahmen haben Sie die Aufmerksamkeit Ihrer Mitarbeiter für mehr Sicherheit auf jeden Fall geweckt. Wichtig ist, dass Vorfälle jeglicher Art gemeldet und nicht etwa aus Angst vor Konsequenzen vertuscht werden. Es gilt, rechtzeitig zu handeln und mögliche Schäden zu begrenzen.

Die Schulung aller Mitarbeiter im Unternehmen ist vermutlich die wichtigste Maßnahme – und sie sollte regelmäßig stattfinden, damit das Sprichwort „aus den Augen, aus dem Sinn“ gar nicht erst eintreten kann. Und Fakt ist doch: Das Thema IT-Sicherheit ist so umfassend, dass Ihnen der Stoff für regelmäßige Mitarbeiterschulungen sicherlich nicht so schnell ausgehen wird. Beispiele gefällig? Bitte schön:

Die Liste lässt sich selbstverständlich weiter ausführen. Wichtig ist, dass Sie dafür sorgen, dass die IT-Sicherheit zum ständigen Begleiter eines jeden Mitarbeiters wird – oder nutzen Ihre Beschäftigten und Kollegen keinen Firmenlaptop, keinen Geschäftsrechner, keine geschäftliche E-Mail-Adresse und keinen Internetzugang für ihre tägliche Arbeit?

Der Software-Anbieter Sailpoint, der auf Identity and Access Management spezialisiert ist, hat jetzt in einer Studie untersucht, wie Mitarbeiter sich selbst in Sachen Security Awareness einschätzen und wie ihr Umgang mit Geschäftsinformationen, E-Mail-Accounts und Phishing-Angriffen im Alltag tatsächlich aussieht.

52 Prozent der Befragten gaben an, seitens des Unternehmens bereits zur Cybersicherheit geschult worden zu sein; 49 Prozent erklärten, verdächtige E-Mailssofort zu löschen; 24 Prozent sagten, dass sie verdächtige E-Mails sofort an die IT-Abteilung weiterleiten. Bedeutet: Die Schulungen scheinen Wirkung zu zeigen. Aber: Es blieben immer noch 16 Prozent, die auf Phishing-E-Mails antworten oder deren Anhänge öffnen würden.

Laut der Untersuchung gibt es vor allem noch eine große Baustelle: 46 Prozent der Befragten nutzen ihre Firmenmail öfter für private Zwecke, zwei Drittel geben in Sozialen Medien Informationen über Arbeitgeber, Position und Kontaktdaten an – und das vergrößert die Angriffsfläche enorm. Hier gilt es, noch einmal gesondert zu sensibilisieren.

Laut BSI lautet der entscheidende Leitgedanke für IT-Sicherheit im Unternehmen: Cyber-Sicherheit ist Chefsache. Informationssicherheit ist dabei als unabdingbare Voraussetzung für die Digitalisierung zu sehen; sie ist ein strategisches Thema und eine Leitungsaufgabe für das Top-Management.

Nichtsdestotrotz benötigen Chefs die Unterstützung von Experten – das kann zum Beispiel ein IT-Leiter sein, der auch in Sachen IT-Sicherheit Sachverstand aufweist und Initiativen für mehr IT-Sicherheit im Unternehmen etabliert. Besonders in kleinen Unternehmen mangelt es aber oft an sachverständigem Personal. Die Lösung für dieses Problem ist einfach: Geben Sie die Verantwortung für die IT-Sicherheit an einen externen IT-Dienstleister ab.

Unsere Spezialisten kümmern sich gern um die IT-Sicherheit Ihres Unternehmensnetzwerks und vermitteln auf Wunsch Schulungen zur Security Awareness. Fakt ist: Sie sollten zeitnah aktiv werden – Cyberkriminelle nehmen nämlich keine Auszeit und lassen sich ständig neue Angriffsmöglichkeiten einfallen. Nehmen Sie Kontakt zu uns auf und lassen Sie sich beraten!