IT-Sicherheit: Schutzfaktor Mensch
Unternehmen gestalten ihre internen Prozesse zunehmend digital – und damit auch effizienter. Das führt bei vielen Mitarbeitern zu einer breiten Verunsicherung und zwangsläufig auch in der IT-Sicherheit zu Problemen. Die Gründe dafür sind vielfältig – der naheliegendste: Unternehmen haben es versäumt, innerhalb ihrer Belegschaft rechtzeitig digitale Kenntnisse aufzubauen.
Während unser Privatleben schon stark digitalisiert ist, fremdeln viele Unternehmen mit der digitalen Transformation. Ein zentrales Problem: Verantwortliche übersehen, dass den eigenen Mitarbeitern digitales Know-how fehlt. Dies kann auch dazu führen, dass Angestellte Cybergefahren nicht erkennen und damit die Sicherheit von Unternehmensdaten gefährden. Dabei sollte IT-Sicherheit in Unternehmen heute so selbstverständlich sein wie Brandschutz oder Erste Hilfe. Hierzu sind umfassende Schulungen notwendig, um die eigene Belegschaft für das Thema IT-Sicherheit zu sensibilisieren. Mit umfassenden Security-Awareness-Trainings gelingt es Unternehmen, die Mitarbeiter sowohl für den digitalen Wandel fit zu machen, als auch über aktuelle Cyberbedrohungen aufzuklären.
Derzeit sind bei der Cyberkriminalität zwei Trends erkennbar. Erstens: Cyberkriminelle arbeiten immer schneller. Sie setzen sogenannte Packer ein, um den Schadcode vor Virenscannern zu verbergen. Ein zweiter Trend: Angreifer suchen sich ihre Opfer gezielt aus. Sie planen ihre Angriffe und sammeln wichtige Informationen im Vorfeld über Information-Stealer, mit denen sie das Netzwerk bereits infiltriert haben. Die Lösegeldforderungen orientieren sich dann an den aktuellen Umsatzzahlen. Diese reichen von kleinen Beträgen über mehrere hunderttausend Franken bis hin zu siebenstelligen Summen.
Schwachstelle Mensch
Angestellte spielen bei der IT-Sicherheit eine zentrale Rolle. Allerdings werden sie häufig als Auslöser von Cyberattacken und nicht als Verhinderer gesehen. Laut einer Studie des Think-Tanks ESI Thoughtlab sehen 87 Prozent der befragten Unternehmen ungeschulte Mitarbeiter als grösste Schwachstelle der IT-Sicherheit an. Denn bereits ein falscher Klick auf einen Mailanhang mit einer Schadsoftware, die als Bewerbung oder Rechnung getarnt ist, reicht aus, um Daten zu verschlüsseln und das Netzwerk lahmzulegen. Das zeigt: Technologische Schutzmassnahmen alleine verhindern keine Cyberattacke. Aufmerksame Mitarbeiter können Angriffe im Keim ersticken. Daher sollten Unternehmen in ihrer IT-Sicherheitsstrategie die Aufklärung ihrer Angestellten über potenzielle Cyberrisiken berücksichtigen.
Mitarbeiter nehmen das Thema IT-Sicherheit oft noch auf die leichte Schulter. Sie nutzen jede Möglichkeit, um sich den Arbeitsalltag einfacher zu machen. So führt der durch eine Policy vorgeschriebene monatliche Wechsel des Passworts oft dazu, dass sie bei ihrem Standardpasswort lediglich die Ziffer verändern. Aus "Passwort01" wird dann "Passwort02".
Awareness steigern
Klar ist, dass Unternehmen ihre Mitarbeiter in die Cyberabwehr einbeziehen müssen. Für einen wirkungsvollen Schutz des Unternehmensnetzwerks und der Daten braucht es einen ganzheitlichen Ansatz. Es reicht aber nicht aus, Mitarbeiter über die aktuellen Gefahrenlage aufzuklären. Ziel muss es sein, sie so zu schulen, dass sie Angriffsmuster frühzeitig erkennen und Attacken durch korrektes Verhalten verhindern.
Daher greift ein Schulungskonzept zu kurz, das Angestellte ausschliesslich über die drei grössten Gefahren für Cyberattacken – Mails mit infizierten Datei-Anhängen, USB-Sticks mit Schadsoftware oder bösartige Downloads – aufklärt. Denn das Themenspektrum ist viel grösser: Wer unterwegs etwa in der Bahn oder im Homeoffice arbeitet, muss seine Passwörter und Informationen sowie Dokumente vor unerwünschten Blicken und Zugriffen schützen. Gleichzeitig nutzen Mitarbeiter verstärkt Smartphones oder Tablets im Berufsalltag und arbeiten unterwegs häufig ausserhalb des firmeninternen Netzwerks. Ihre Daten speichern sie dann entweder lokal oder nutzen Cloud-Ressourcen. Auch die aktuellen Vorgaben zum Datenschutz und zur Datensicherheit müssen Angestellte nicht nur kennen, sondern auch anwenden.
Awareness-Training-Dashboard (Quelle: G Data)
Gleiches Wissen für alle
Präsenz-Schulungen lassen sich ab einer bestimmten Unternehmensgrösse kaum noch organisieren. Ein oder mehrere Mitarbeiter sind entweder krank, im Urlaub oder dienstlich unterwegs. Die Terminfindung gerät so zu einer wahren Sisyphos-Arbeit. Hinzu kommt, dass die Mitarbeiter einen oder mehrere Tage gebunden sind. Wer das IT-Sicherheitsbewusstsein bei seinen Mitarbeitern nachhaltig steigern will, braucht einen langen Atem. Gleichzeitig müssen die Trainings immer auf der Höhe der Zeit sein und Lerninhalte zu aktuellen Bedrohungen beinhalten. Denn nur so erhalten die Angestellten rechtzeitig die notwendigen Informationen zu neuen Angriffsmethoden wie beispielsweise als Bewerbungsunterlagen getarnte Trojaner. Daher ziehen immer mehr Unternehmen E-Learnings in Betracht.
Zeitgemässes Lernen
Ein umfassender Lehrplan deckt sämtliche Aspekte der IT-Sicherheit ab. Allerdings können insbesondere kleine und mittelständische Unternehmen aus eigener Kraft kein eigenes Angebot realisieren. Dafür fehlt es am notwendigen Know-how und qualifiziertem Personal. Die Zusammenarbeit mit Cyber-Security-Dienstleistern ist daher eine zielführende Alternative. Denn diese können auf Basis ihrer langjährigen Erfahrung ein effektives Trainingsangebot anbieten.
(Quelle: G Data)
Gute E-Learnings beinhalten zeitgemässe Schulungsmaterialien wie Videos, Texte oder interaktive Multiple-Choice-Tests. Diese sorgen für gute Lernfortschritte. Durch regelmässige, kurze Trainingseinheiten lassen sich die Inhalte sinnvoll in den Arbeitsalltag integrieren. Regelmässige Wiederholungen sorgen dafür, dass das neu erlangte Wissen auch langfristig im Gedächtnis bleibt. Damit Angestellte ohne technische Vorkenntnisse die Inhalte nachvollziehen können, sollten sie verständlich formuliert sein. Wichtig ist: Der Lernzuwachs ist für den Mitarbeiter und für Personal- und IT-Verantwortliche messbar.
Positive Verstärkung
Für die Motivation der Mitarbeiter ist ein positives Feedback nach jeder Lerneinheit wichtig. Anstelle einer Falschmeldung ist eine detaillierte Erklärung zielführender. Ein derartiges Feedback sorgt für einen optimalen Lernerfolg. Gleichzeitig werden Mitarbeiter motiviert, auch die nächste Lerneinheit zu absolvieren und das E-Learning bis zum Ende durchzuziehen. Eine zusätzliche Motivation bieten Zertifizierungen. Mitarbeiter können sich nach bestandenen Themenblöcken eine Urkunde über die erfolgreiche Teilnahme ausstellen lassen.
Investitionen in eine sichere Zukunft
Unternehmen beweisen Weitsicht, wenn sie in der Belegschaft das IT-Sicherheitsbewusstsein verbessern. Zudem können sich Unternehmen mit Security-Awareness-Trainings vom Wettbewerb abheben. Damit signalisieren sie ihren Kunden, dass sie nicht nur auf technologische Schutzmassnahmen vertrauen, sondern sich ganzheitlich mit der IT-Sicherheit auseinandersetzen. Daher ist eine Investition in Schulungsmassnahmen gleichzeitig auch eine Investition in die Zukunft des Unternehmens. Die beliebte Phrase "Die Sicherheit und Privatsphäre unserer Nutzer hat für uns oberste Priorität" unterstreichen Unternehmen sichtbar mit diesem Engagement.