Im Homeoffice hat sich die Bedrohungslage für Angestellte erheblich verschärft. Oftmals sind Mitarbeiter im Unternehmen nicht aufgeklärt über die einzelnen Bedrohungs-Arten wie CEO-Fraud, Phishing oder Malware. Deshalb sind zielgerichtete Schulungen nötig, um die Security Awareness bei Mitarbeitern zu stärken.
Besonders in Zeiten des Homeoffices sind Mitarbeiter Phishing und Malware-Attacken ausgesetzt. Quelle: iStock – xijian
Einmal auf den falschen Link geklickt und schon ist der Hacker im Netzwerk. Angreifer nutzen die Naivität von Angestellten aus und legen sie mit irreführenden E-Mails herein. In Zeiten von Homeoffice ist diese Gefahr noch stärker als je zuvor, weil die Betroffenen sich nicht mehr innerhalb des abgesicherten Firmennetzwerks bewegen.
Technische Lösungen für die IT-Security alleine reichen nicht aus. Ebenso wichtig ist die Schulung und Sensibilisierung der eigenen Mitarbeiter.
Bundeskriminalamt warnt
Laut einer Umfrage des Bundeskriminalamts (BKA) ist die Gefahrenlage akut: „Die hohe Zahl der Straftaten [.. ] im Zuge der COVID-19-Pandemie zeigen, dass es sowohl für Mitarbeiterinnen und Mitarbeiter von Unternehmen als auch Privatpersonen wichtig ist, ihre Daten vor dem Zugriff von Cyberkriminellen zu schützen“. Hacker arbeiten mittlerweile hochprofessionell und sind sehr gefährlich. Sie wollen persönliche Informationen abgreifen, Betriebsgeheimnisse stehlen und Lösegeld erpressen.
Wie können Sie als Führungskraft vorgehen, um Ihr Unternehmen und Ihre Mitarbeiter zu schützen?
Um diese Bedrohungen abzuwehren, ist eine widerstandfähige Sicherheitsinfrastruktur unabdingbar. Technik allein reicht allerdings nicht aus, es kommt darauf an, die Menschen mitzunehmen. An dieser Stelle kommen Awareness-Schulungen für Mitarbeiter ins Spiel, welche dringend erforderlich sind. Die Trainings sollten richtig geplant und vermittelt werden, denn je besser die Technik wird, desto eher versuchen die Angreifer ein Einfallstor über den Mitarbeiter selbst zu finden.
Ganzheitliche Cybersicherheit
Daher berücksichtigt ein ganzheitlicher Cybersicherheits-Ansatz nicht nur die technologischen, sondern auch die menschlichen, kulturellen und sozialen Faktoren in einer Organisation. Unabhängig davon, wie fortschrittlich und effektiv die Werkzeuge der Sicherheitstechnologie sind, ein erfolgreicher Einsatz und die Implementierung der Technologie sind ohne kompetente Mitarbeiter und unterstützende Prozesse im Rahmen einer übergreifenden Cybersicherheitsstrategie nicht möglich.
Cybersicherheit ist ein Bereich, in dem der Mensch im Mittelpunkt steht. Denn was nützt ein umfassendes Sicherheitskonzept, wenn dieses von den Mitarbeitern nicht gelesen bzw. gelebt wird? Cyberangriffe werden von einer Person geplant und ausgeführt, und die meisten Angriffe zielen auf eine Person ab, um Zugang zu erhalten. Daher ist menschliches Verhalten der Schlüssel zur Schließung von Sicherheitslücken. Menschen in der Organisation können entweder das schwächste Glied in der Sicherheitskette sein oder der Schlüssel zur Stärkung der allgemeinen Cybersicherheitsposition des Unternehmens.
Problembewusstsein wecken
Effektiv gestaltete Sicherheitsschulungen helfen dabei das Risiko zu reduzieren. Quelle: iStock – kate_sept2004
Die drängendsten Sorgen der Sicherheitsverantwortlichen konzentrieren sich auf Datenschutzverletzungen, Phishing, Spearphishing und Ransomware. Dies alles sind Bereiche, in denen ein gutes Security-Awareness-Training hilft, das Risiko zu reduzieren.
Trainings haben allerdings häufig einen schlechten Ruf. Die Geschäftsleitung und die Angestellten sind wenig begeistert von Sicherheitsschulungen und sehen sie nur als lästige Pflichtübung. Um die Akzeptanz zu erhöhen, sollten Security-Trainings so ausgebaut sein, dass die Teilnehmer bei der Stange bleiben und wirklich etwas lernen. Dafür haben sich spielerische Elemente und Wettbewerbe bewährt.
Spielerisch die Security Awareness trainieren
Ein solche spielerische Übung kann so ablaufen: Mitarbeiter erhalten in einer Testumgebung gefälschte Phishing Emails, die sie erkennen müssen. Mit der Zeit und mit den Übungen entwickeln sie ein immer besseres Auge dafür, auf welche Absender, Links oder Web-URLS sie besser nicht klicken sollten.
Durch Videos und TV-Angebote können Mitarbeiter indirekt geschult und zum Nachdenken angeregt werden. Quelle: iStock – Jane_Kelly
Und manchmal hilft es ebenfalls, sich durch unterschiedliche TV-Angebote berieseln zu lassen. Die Fernsehserie „Mr. Robot“ auf Amazon Prime zeigt, wie Hacker arbeiten. Das ist zwar keine direkte Schulung, kann aber zum Nachdenken anregen. Ähnlich spannend gestaltete Videos gibt es von verschiedenen Security-Anbietern.
Auch wenn nicht jeder ein Cybersicherheitsexperte sein kann, sollten alle Mitarbeiter grundlegende Cyberhygienepraktiken verstehen, wie z.B. Passwortauswahl, Zugriffsrechte für Anwender, Installation von Updates, wie man eine potenzielle Phishing-E-Mail identifiziert, sowie Sicherheitsprozesse und -protokolle des Unternehmens.
Es kommt darauf an, die Grundlagen der Cybersicherheit zu verstehen und ein Grundwissen darüber aufzubauen, auf welche Gefahren man achten muss. So können Anwender in die Lage versetzen werden, wachsam und besser vorbereitet zu sein, um sich selbst und die Organisation vor potenziellen Bedrohungen und Angriffen zu schützen. Damit die Inhalte ankommen und in den Köpfen haften bleiben, müssen die Kurse im Bereich Security Awareness interaktiv, spannend und lehrreich gestaltet sein.
Quelle Titelbild: iStock / Rawf8