Die „Schwachstelle Mensch“ gilt als einer der größten Risikofaktoren für die IT-Sicherheit von Unternehmen. Das Problem: Vielen Mitarbeitern mangelt es sowohl an technischem Grundwissen als auch am Gespür für Bedrohungen aus dem Internet. Unser Appell: Schulen Sie die Security Awareness!
Was es mit der Security Awareness auf sich hat, lesen Sie bei uns.
IT-Sicherheit & die „Schwachstelle Mensch“
Es ist leider so: Eine gute Sicherheitsstrategie und die entsprechende technische Ausstattung reichen nicht aus, um die IT-Sicherheit eines Unternehmens zu gewährleisten. Vielmehr muss jeder einzelne Anwender innerhalb eines IT-Netzwerkes die Sicherheitsstrategie verinnerlichen und über ein gewisses Grundwissen darüber verfügen, wie mit IT-Systemen umzugehen ist und wie es sich sicher im Internet bewegen lässt.
Denn: Oft sind es Mitarbeiter, die Gefahren aus dem Internet nicht erkennen und durch ihr unachtsames Verhalten dafür sorgen, dass Daten in die falschen Hände geraten oder Systeme durch Malware kompromittiert werden. Der Mensch als vermeintlich schwächstes Glied der Sicherheitskette wird genau deshalb zum erklärten Ziel der Angreifer – und zu einem der größten Risikofaktoren für die IT-Sicherheit eines Unternehmens. Der Fachbegriff dafür lautet Social Engineering.
Das Problem: Durch die zunehmende digitale Vernetzung eröffnen sich den Cyberkriminellen viele Möglichkeiten, in kurzer Zeit Millionen von potenziellen Opfern zu erreichen.
Security Awareness – Mitarbeiter sensibilisieren
Aber wie können Sie diesen Risikofaktor innerhalb Ihres Unternehmens in den Griff bekommen? Das Stichwort lautet: Security Awareness. Mit diesem Begriff ist das Bewusstsein des Menschen für mögliche Bedrohungen für IT-Systeme gemeint. Und dieses Bewusstsein lässt sich durch eine Sensibilisierung schulen. Oder anders gesagt: Die Mitarbeiter eines Unternehmens entwickeln einen Riecher für potenzielle Gefahren – und werden sozusagen zu einer wichtigen Barriere in Sachen Cyber-Sicherheit.
Viele Unternehmen haben dies glücklicherweise bereits erkannt. Im Bericht zur Lage der IT-Sicherheit in Deutschland 2021 des BSI heißt es, dass 81 Prozent der Unternehmen vor und während der Corona-Pandemie in Awareness-Maßnahmen investiert und ihre Mitarbeiter für Cybersicherheit sensibilisiert haben.
Allerdings – so heißt es im BSI-Lagebericht 2021 weiter – reicht die alleinige Schulung nicht aus. Vielmehr müssten Unternehmen auch regelmäßig den Ablauf bei Cyber- und IT-Notfällen üben – und das setzen bisher nur 24 Prozent der befragten Unternehmen um. Diesbezüglich gibt es also noch deutlichen Nachholbedarf. Aktionen wie der European Cyber Security Month machen demnach weiterhin Sinn.
Was ist der European Cyber Security Month?
Der European Cyber Security Month – abgekürzt ECSM – soll Privatleute, Organisationen und Unternehmen gleichermaßen für Themen der Cyber-Sicherheit sensibilisieren. Seit 2013 findet er unter Federführung der IT-Sicherheitsbehörde ENISA jedes Jahr im Oktober statt.
Letztlich ist die Botschaft alle Jahre wieder diese: Cyber-Sicherheit ist eine Gemeinschaftsaufgabe. Das ist auf gesellschaftlicher Ebene der Fall, aber genauso auf unternehmerischer Ebene. Denn: Damit das gesamte Unternehmen sicher ist und, von Bedrohungen unbehelligt, effizient arbeiten kann, muss jeder Einzelne wachsam gegenüber den wachsenden Bedrohungen durch Cyberkriminalität sein.
Anders gesagt: Security Awareness und Cyber Awareness sind entscheidende Aspekte für den Unternehmenserfolg. Versäumen Sie es nicht, Ihre Mitarbeiter ins Boot zu holen – nur ein falscher Klick auf den Anhang einer Bewerbungsmail kann die Existenz des gesamten Unternehmens gefährden. Beispiele dafür: Ordinypt Wiper und GermanWiper.
Wie sich das Sicherheitsbewusstsein stärken lässt
Aber wie lassen sich Mitarbeiter ganz konkret mit ins Boot holen, wenn es um die IT-Sicherheit geht? Wir geben Ihnen in dieser Sache vier Tipps mit auf den Weg:
- Sie planen, neue Sicherheitsprogramme in Ihrem Unternehmen zu implementieren? Dann lassen Sie sie durch Ihre Mitarbeiter testen! So lassen sich Schwachstellen und spezielle Bedürfnisse entdecken.
- Investieren Sie in Security-Awareness-Trainings für Ihre Mitarbeiter, damit bei jedem Einzelnen bei Bedrohungen aus dem World Wide Web die Alarmglocken schrillen.
- Machen Sie Security Awareness zu einem ständigen Thema – zum Beispiel durch Kampagnen, die auf eine gute Cyber-Hygiene hinweisen, durch die Ernennung von Cyber-Beauftragten innerhalb der verschiedenen Teams oder durch ein Belohnungsprogramm für die Meldung von verdächtigten Auffälligkeiten.
- Üben Sie regelmäßig den Ablauf bei Cyber- und IT-Notfällen. Dadurch wissen die Mitarbeiter genau, was im Ernstfall zu tun ist, können unverzüglich reagieren und den Angriff möglicherweise noch rechtzeitig abwehren.
Mit diesen Maßnahmen haben Sie die Aufmerksamkeit Ihrer Mitarbeiter für mehr Sicherheit auf jeden Fall geweckt. Wichtig ist, dass Vorfälle jeglicher Art gemeldet und nicht etwa aus Angst vor Konsequenzen vertuscht werden. Es gilt, rechtzeitig zu handeln und mögliche Schäden zu begrenzen.
Schulungen fördern Security Awareness
Die Schulung aller Mitarbeiter im Unternehmen ist vermutlich die wichtigste Maßnahme – und sie sollte regelmäßig stattfinden, damit das Sprichwort „aus den Augen, aus dem Sinn“ gar nicht erst eintreten kann. Und Fakt ist doch: Das Thema IT-Sicherheit ist so umfassend, dass Ihnen der Stoff für regelmäßige Mitarbeiterschulungen sicherlich nicht so schnell ausgehen wird. Beispiele gefällig? Bitte schön:
- Informationen zur Datensicherheit
- Sicherer Umgang mit E-Mails
- Bedrohungspotenzial durch Malware
- Umgang mit mobilen Geräten
- Gefahren der Internetnutzung
- Gefahren durch soziale Netzwerke
- Bedrohung durch Phishing-Attacken
- Sichere Passwörter
- Sichere Nutzung öffentlicher Hotspots
- Verhalten bei erkannten Gefahren
- Gefährdung durch Social Engineering
- Umgang mit mobilen Datenspeichern
Die Liste lässt sich selbstverständlich weiter ausführen. Wichtig ist, dass Sie dafür sorgen, dass die IT-Sicherheit zum ständigen Begleiter eines jeden Mitarbeiters wird – oder nutzen Ihre Beschäftigten und Kollegen keinen Firmenlaptop, keinen Geschäftsrechner, keine geschäftliche E-Mail-Adresse und keinen Internetzugang für ihre tägliche Arbeit?
Studie: Security-Awareness-Trainings zeigen Wirkung
Der Software-Anbieter Sailpoint, der auf Identity and Access Management spezialisiert ist, hat jetzt in einer Studie untersucht, wie Mitarbeiter sich selbst in Sachen Security Awareness einschätzen und wie ihr Umgang mit Geschäftsinformationen, E-Mail-Accounts und Phishing-Angriffen im Alltag tatsächlich aussieht.
52 Prozent der Befragten gaben an, seitens des Unternehmens bereits zur Cybersicherheit geschult worden zu sein; 49 Prozent erklärten, verdächtige E-Mails sofort zu löschen; 24 Prozent sagten, dass sie verdächtige E-Mails sofort an die IT-Abteilung weiterleiten. Bedeutet: Die Schulungen scheinen Wirkung zu zeigen. Aber: Es blieben immer noch 16 Prozent, die auf Phishing-E-Mails antworten oder deren Anhänge öffnen würden.
Laut der Untersuchung gibt es vor allem noch eine große Baustelle: 46 Prozent der Befragten nutzen ihre Firmenmail öfter für private Zwecke, zwei Drittel geben in Sozialen Medien Informationen über Arbeitgeber, Position und Kontaktdaten an – und das vergrößert die Angriffsfläche enorm. Hier gilt es, noch einmal gesondert zu sensibilisieren.
Geben Sie die Verantwortung für IT-Sicherheit an Profis ab!
Laut BSI lautet der entscheidende Leitgedanke für IT-Sicherheit im Unternehmen: Cyber-Sicherheit ist Chefsache. Informationssicherheit ist dabei als unabdingbare Voraussetzung für die Digitalisierung zu sehen; sie ist ein strategisches Thema und eine Leitungsaufgabe für das Top-Management.
Nichtsdestotrotz benötigen Chefs die Unterstützung von Experten – das kann zum Beispiel ein IT-Leiter sein, der auch in Sachen IT-Sicherheit Sachverstand aufweist und Initiativen für mehr IT-Sicherheit im Unternehmen etabliert. Besonders in kleinen Unternehmen mangelt es aber oft an sachverständigem Personal. Die Lösung für dieses Problem ist einfach: Geben Sie die Verantwortung für die IT-Sicherheit an einen externen IT-Dienstleister ab – zum Beispiel an einen Experten aus dem IT-SERVICE.NETWORK.
Unsere Spezialisten kümmern sich gern um die IT-Sicherheit Ihres Unternehmensnetzwerks und vermitteln auf Wunsch Schulungen zur Security Awareness. Fakt ist: Sie sollten zeitnah aktiv werden – Cyberkriminelle nehmen nämlich keine Auszeit und lassen sich ständig neue Angriffsmöglichkeiten einfallen. Nehmen Sie Kontakt zu uns auf und lassen Sie sich beraten!
Update vom 05.06.2023: Attacken laufen per E-Mail an Mitarbeiter
Des Cyberkriminellen liebstes Werkzeug ist die E-Mail. Das weiß der Check Point 2023 Security Report mit Zahlen zu belegen: 86 Prozent aller dateibasierten Angriffe liefen im Jahr 2022 per E-Mail ab. Besonders Unternehmen sind hier gefährdet. Das liegt zu einen daran, dass bei ihnen natürlich mehr zu holen ist als bei Privatpersonen. Zum anderen lassen sich E-Mail-Adressen von Mitarbeitenden oft sehr einfach ausfindig machen.
Alles, was es dazu braucht, ist eine Unternehmenswebseite in Kombination mit einem Business-Netzwerk wie Xing oder LinkedIn. Auf der Unternehmenswebseite lässt sich im Impressum über die gängige info@-Adresse herausfinden, welchem Schema ein Unternehmen bei der Vergabe von E-Mail-Adressen wahrscheinlich folgt. Und auf Xing oder LinkedIn lassen sich sehr einfach Mitarbeiter finden, die für dieses bestimmte Unternehmen arbeiten. Die Chance ist groß, dass die E-Mail-Adresse in etwa nachname@firmenname.de lautet. Und schon kann die E-Mail-Attacke starten.
Eine Lehre, die Unternehmen aus der genannten Studie ziehen sollten: Sensibilisieren Sie jeden einzelnen Mitarbeiter dafür, welche Gefahren in ihrem E-Mail-Postfach lauern können! Nutzen Sie dafür gern das Angebot von Security Awareness-Schulungen!
Weiterführende Links:
ECSM, ENISA, Drive Lock, Security Insider, BSI, BSI, BSI, Check Point 2023 Security Report
Schreiben Sie einen Kommentar
* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung