IT-Sicherheit

Security Awareness

Erkennen Sie Gefahren für die IT-Sicherheit?

von 15.10.2019
Zu sehen ist ein Büro mit mehreren PC-Arbeitsplätzen. Wie sieht es hier mit der Security Awareness aus? Bild: Unsplash / Damir Kopezhanov

Die „Schwachstelle Mensch“ gilt als einer der größten Risikofaktoren für die IT-Sicherheit von Unternehmen. Das Problem: Vielen Mitarbeitern mangelt es sowohl an technischem Grundwissen als auch am Gespür für Bedrohungen aus dem Internet. Unser Appell: Schulen Sie die Security Awareness! 

Was es mit der Security Awareness auf sich hat, lesen Sie bei uns.

IT-Sicherheit & die „Schwachstelle Mensch“

Es ist leider so: Eine gute Sicherheitsstrategie und die entsprechende technische Ausstattung reichen nicht aus, um die IT-Sicherheit eines Unternehmens zu gewährleisten. Vielmehr muss jeder einzelne Anwender innerhalb eines IT-Netzwerkes die Sicherheitsstrategie verinnerlichen und über ein gewisses Grundwissen darüber verfügen, wie mit IT-Systemen umzugehen ist und wie es sich sicher im Internet bewegen lässt. 

Denn: Oft sind es Mitarbeiter, die Gefahren aus dem Internet nicht erkennen und durch ihr unachtsames Verhalten dafür sorgen, dass Daten in die falschen Hände geraten oder Systeme durch Malware kompromittiert werden. Der Mensch als vermeintlich schwächstes Glied der Sicherheitskette wird genau deshalb zum erklärten Ziel der Angreifer – und zu einem der größten Risikofaktoren für die IT-Sicherheit eines Unternehmens. Der Fachbegriff dafür lautet Social Engineering.

Das Problem: Durch die zunehmende digitale Vernetzung eröffnen sich den Cyberkriminellen viele Möglichkeiten, in kurzer Zeit Millionen von potenziellen Opfern zu erreichen. 

Ein Mann schlägt am PC die Hände über dem Kopf zusammen; er ist auf eine Phishing-Mail hereingefallen. Er muss sein Security Awareness schulen. Bild: Pexels/RODNAE Productions

Auf eine Phishing-Mail hereingefallen? Trainings zur Security Awareness verhindern das. Bild: Pexels/RODNAE Productions

Security Awareness – Mitarbeiter sensibilisieren

Aber wie können Sie diesen Risikofaktor innerhalb Ihres Unternehmens in den Griff bekommen? Das Stichwort lautet: Security Awareness. Mit diesem Begriff ist das Bewusstsein des Menschen für mögliche Bedrohungen für IT-Systeme gemeint. Und dieses Bewusstsein lässt sich durch eine Sensibilisierung schulen. Oder anders gesagt: Die Mitarbeiter eines Unternehmens entwickeln einen Riecher für potenzielle Gefahren – und werden sozusagen zu einer wichtigen Barriere in Sachen Cyber-Sicherheit.

Viele Unternehmen haben dies glücklicherweise bereits erkannt. Im Bericht zur Lage der IT-Sicherheit in Deutschland 2021 des BSI heißt es, dass 81 Prozent der Unternehmen vor und während der Corona-Pandemie in Awareness-Maßnahmen investiert und ihre Mitarbeiter für Cybersicherheit sensibilisiert haben.

Allerdings – so heißt es im BSI-Lagebericht 2021 weiter – reicht die alleinige Schulung nicht aus. Vielmehr müssten Unternehmen auch regelmäßig den Ablauf bei Cyber- und IT-Notfällen üben – und das setzen bisher nur 24 Prozent der befragten Unternehmen um. Diesbezüglich gibt es also noch deutlichen Nachholbedarf. Aktionen wie der European Cyber Security Month machen demnach weiterhin Sinn.

Was ist der European Cyber Security Month?

Der European Cyber Security Month – abgekürzt ECSM – soll Privatleute, Organisationen und Unternehmen gleichermaßen für Themen der Cyber-Sicherheit sensibilisieren. Seit 2013 findet er unter Federführung der IT-Sicherheitsbehörde ENISA jedes Jahr im Oktober statt.

Letztlich ist die Botschaft alle Jahre wieder diese: Cyber-Sicherheit ist eine Gemeinschaftsaufgabe. Das ist auf gesellschaftlicher Ebene der Fall, aber genauso auf unternehmerischer Ebene. Denn: Damit das gesamte Unternehmen sicher ist und, von Bedrohungen unbehelligt, effizient arbeiten kann, muss jeder Einzelne wachsam gegenüber den wachsenden Bedrohungen durch Cyberkriminalität sein.

Anders gesagt: Security Awareness und Cyber Awareness sind entscheidende Aspekte für den Unternehmenserfolg. Versäumen Sie es nicht, Ihre Mitarbeiter ins Boot zu holen – nur ein falscher Klick auf den Anhang einer Bewerbungsmail kann die Existenz des gesamten Unternehmens gefährden. Beispiele dafür: Ordinypt Wiper und GermanWiper

Vorne sitzen zwei Frauen an Ihren Arbeitslaptops, ein männlicher Kollege steht hinter ihnen und zeigt ihnen etwas. Es geht um das Thema Security Awareness. Bild: Unsplash / Mimi Thian

Jeder einzelne Mitarbeiter spielt in Sachen IT-Sicherheit eine Rolle. Deshalb ist die Security Awareness so wichtig. Bild: Unsplash / Mimi Thian

Wie sich das Sicherheitsbewusstsein stärken lässt

Aber wie lassen sich Mitarbeiter ganz konkret mit ins Boot holen, wenn es um die IT-Sicherheit geht? Wir geben Ihnen in dieser Sache vier Tipps mit auf den Weg:

  1. Sie planen, neue Sicherheitsprogramme in Ihrem Unternehmen zu implementieren? Dann lassen Sie sie durch Ihre Mitarbeiter testen! So lassen sich Schwachstellen und spezielle Bedürfnisse entdecken.
  2. Investieren Sie in Security-Awareness-Trainings für Ihre Mitarbeiter, damit bei jedem Einzelnen bei Bedrohungen aus dem World Wide Web die Alarmglocken schrillen.
  3. Machen Sie Security Awareness zu einem ständigen Thema – zum Beispiel durch Kampagnen, die auf eine gute Cyber-Hygiene hinweisen, durch die Ernennung von Cyber-Beauftragten innerhalb der verschiedenen Teams oder durch ein Belohnungsprogramm für die Meldung von verdächtigten Auffälligkeiten.
  4. Üben Sie regelmäßig den Ablauf bei Cyber- und IT-Notfällen. Dadurch wissen die Mitarbeiter genau, was im Ernstfall zu tun ist, können unverzüglich reagieren und den Angriff möglicherweise noch rechtzeitig abwehren.

Mit diesen Maßnahmen haben Sie die Aufmerksamkeit Ihrer Mitarbeiter für mehr Sicherheit auf jeden Fall geweckt. Wichtig ist, dass Vorfälle jeglicher Art gemeldet und nicht etwa aus Angst vor Konsequenzen vertuscht werden. Es gilt, rechtzeitig zu handeln und mögliche Schäden zu begrenzen.

Schulungen fördern Security Awareness

Die Schulung aller Mitarbeiter im Unternehmen ist vermutlich die wichtigste Maßnahme – und sie sollte regelmäßig stattfinden, damit das Sprichwort „aus den Augen, aus dem Sinn“ gar nicht erst eintreten kann. Und Fakt ist doch: Das Thema IT-Sicherheit ist so umfassend, dass Ihnen der Stoff für regelmäßige Mitarbeiterschulungen sicherlich nicht so schnell ausgehen wird. Beispiele gefällig? Bitte schön:

  • Informationen zur Datensicherheit
  • Sicherer Umgang mit E-Mails
  • Bedrohungspotenzial durch Malware
  • Umgang mit mobilen Geräten
  • Gefahren der Internetnutzung
  • Gefahren durch soziale Netzwerke
  • Bedrohung durch Phishing-Attacken
  • Sichere Passwörter
  • Sichere Nutzung öffentlicher Hotspots
  • Verhalten bei erkannten Gefahren
  • Gefährdung durch Social Engineering
  • Umgang mit mobilen Datenspeichern

Die Liste lässt sich selbstverständlich weiter ausführen. Wichtig ist, dass Sie dafür sorgen, dass die IT-Sicherheit zum ständigen Begleiter eines jeden Mitarbeiters wird – oder nutzen Ihre Beschäftigten und Kollegen keinen Firmenlaptop, keinen Geschäftsrechner, keine geschäftliche E-Mail-Adresse und keinen Internetzugang für ihre tägliche Arbeit?

Zu sehen ist ein Meeting, bei dem mehrere Personen an einem Konferenztisch sitzen, während eine Person etwas vorträgt. Vielleicht geht es um Security Awareness. Bild: Unsplash / You X Ventures

Schulen Sie Ihre Mitarbeiter zur Security Awareness. Bild: Unsplash / You X Ventures

Studie: Security-Awareness-Trainings zeigen Wirkung

Der Software-Anbieter Sailpoint, der auf Identity and Access Management spezialisiert ist, hat jetzt in einer Studie untersucht, wie Mitarbeiter sich selbst in Sachen Security Awareness einschätzen und wie ihr Umgang mit Geschäftsinformationen, E-Mail-Accounts und Phishing-Angriffen im Alltag tatsächlich aussieht.

52 Prozent der Befragten gaben an, seitens des Unternehmens bereits zur Cybersicherheit geschult worden zu sein; 49 Prozent erklärten, verdächtige E-Mails sofort zu löschen; 24 Prozent sagten, dass sie verdächtige E-Mails sofort an die IT-Abteilung weiterleiten. Bedeutet: Die Schulungen scheinen Wirkung zu zeigen. Aber: Es blieben immer noch 16 Prozent, die auf Phishing-E-Mails antworten oder deren Anhänge öffnen würden.

Laut der Untersuchung gibt es vor allem noch eine große Baustelle: 46 Prozent der Befragten nutzen ihre Firmenmail öfter für private Zwecke, zwei Drittel geben in Sozialen Medien Informationen über Arbeitgeber, Position und Kontaktdaten an – und das vergrößert die Angriffsfläche enorm. Hier gilt es, noch einmal gesondert zu sensibilisieren.

Geben Sie die Verantwortung für IT-Sicherheit an Profis ab!

Laut BSI lautet der entscheidende Leitgedanke für IT-Sicherheit im Unternehmen: Cyber-Sicherheit ist Chefsache. Informationssicherheit ist dabei als unabdingbare Voraussetzung für die Digitalisierung zu sehen; sie ist ein strategisches Thema und eine Leitungsaufgabe für das Top-Management.

Nichtsdestotrotz benötigen Chefs die Unterstützung von Experten – das kann zum Beispiel ein IT-Leiter sein, der auch in Sachen IT-Sicherheit Sachverstand aufweist und Initiativen für mehr IT-Sicherheit im Unternehmen etabliert. Besonders in kleinen Unternehmen mangelt es aber oft an sachverständigem Personal. Die Lösung für dieses Problem ist einfach: Geben Sie die Verantwortung für die IT-Sicherheit an einen externen IT-Dienstleister ab – zum Beispiel an einen Experten aus dem IT-SERVICE.NETWORK.

Unsere Spezialisten kümmern sich gern um die IT-Sicherheit Ihres Unternehmensnetzwerks und vermitteln auf Wunsch Schulungen zur Security Awareness. Fakt ist: Sie sollten zeitnah aktiv werden – Cyberkriminelle nehmen nämlich keine Auszeit und lassen sich ständig neue Angriffsmöglichkeiten einfallen. Nehmen Sie Kontakt zu uns auf und lassen Sie sich beraten!


Weiterführende Links:
ECSM, ENISA, Drive Lock, Security Insider, BSI, BSI, BSI

Geschrieben von

Seit Anfang 2019 ist Janina Kröger für den Blog des IT-SERVICE.NETWORK verantwortlich. Neue IT-Trends? Wichtige Business-News? Die studierte Germanistin und ausgebildete Redakteurin behält nicht nur das Geschehen auf dem IT-Markt im Blick, sondern versteht es zudem, das IT-Wissen des IT-SERVICE.NETWORK verständlich aufzubereiten.

Fragen zum Artikel? Frag den Autor
0 Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Aktuelle Themen zum Thema IT-Sicherheit

IT-Sicherheit

Fast Identity Online

„Passkeys“ in iOS 16 beerdigt das Passwort

von • 26.09.2022

Fast Identity Online steht für eine Welt ohne Passwörter. Die Idee ist nicht neu, aber mit dem neuen iPhone-Betriebssystem iOS 16 zeigt Apple nun erstmals der breiten Masse, wie das funktioniert. ...

Weiterlesen
IT-Sicherheit

Erpressertrojaner Yanluowang

Diese Ransomware-Masche hat es in sich

von • 14.09.2022

Die Ransomware Yanluowang läutet eine neue Ära der Erpessertrojaner ein. IT-Sicherheitsexperten gehen davon aus, dass die gefährliche Malware die (Unternehmens-)Welt noch lange in Atem halten wird....

Weiterlesen
IT-Sicherheit

SystemHardening

Vorteile einer IT-Systemhärtung

von • 12.09.2022

Sogenanntes System Hardening trägt dazu bei, die IT- und Datensicherheit in Unternehmen zu erhöhen. Im Kern geht es dabei um eine „Härtung“ des Betriebssystems, gängiger Anwendungen und auch d...

Weiterlesen