IT-Sicherheit: Ohne Mitarbeiter geht es nicht
Zeitgemässe Technologien sind im Kampf gegen Cyberkriminelle nur die halbe Miete. Auch Mitarbeiter spielen eine entscheidende Rolle, um die Angriffe von Hackern frühzeitig abzuwehren. Eine der Herausforderungen ist es, die Mitarbeiter in Bezug auf aktuelle Sicherheitsrisiken auf dem Laufenden zu halten.
Unternehmen stehen immer stärker im Fokus von Cyberkriminellen. Mit raffinierten Methoden greifen sie Unternehmensnetzwerke an. Ihr Ziel: wertvolle Unternehmensdaten, die sie kopieren oder verschlüsseln, um Lösegeld zu erpressen. Über Trojaner versuchen sie, Ransomware oder andere Schadsoftware in das Netzwerk einzuschleusen. Dabei nehmen sie auch das Personal von Unternehmen ins Visier, um Zugang zur IT zu erhalten. Eine aktuelle Untersuchung zeigt, wie gross die Problematik ist. Gemäss einer Studie des Thinktank ESI Thoughtlab sehen 87 Prozent der befragten Unternehmen in ungeschulten Mitarbeitern die grösste Schwachstelle für Cyberattacken.
Awareness steigern
Für einen ganzheitlichen IT-Schutz sind Mitarbeiter unerlässlich. Aber wie lässt sich der Wissensstand der gesamten Belegschaft über neue IT-Sicherheitsrisiken schulen und aktuell halten? Ein Schulungskonzept muss dabei unterschiedliche Rahmenbedingungen berücksichtigen. So ist etwa der Wissensstand der einzelnen Mitarbeiter sehr verschieden. Während einige vielleicht nur über Grundkenntnisse verfügen, haben andere schon einen fortgeschrittenen Kenntnisstand. Aber nicht nur die Inhalte, sondern auch die Methodik müssen Verantwortliche festlegen. Hinzu kommt: Die IT-Sicherheitslage verändert sich schnell und bringt immer neue Risiken mit sich. Und nicht zuletzt vergessen Menschen im Laufe der Zeit gelerntes Wissen.
Ganzheitlicher Schulungsansatz
Wer sein Personal zur ersten Verteidigungslinie gegen Cyberkriminelle machen will, sollte daher die unterschiedlichen Bedürfnisse der Mitarbeiter berücksichtigen. Daher bietet sich ein Schulungsangebot an, das beispielsweise auf die Vorkenntnisse der Angestellten abgestimmt ist. Zeitgemässe Methoden wie Lernvideos oder Multiple-Choice-Fragen vermitteln abwechslungsreich das notwendige Wissen. Gleichzeitig lassen sich so Awareness-Trainings orts- und zeitunabhängig durchführen, wenn die Inhalte für Tablets und Smartphones optimiert sind. Wichtig ist auch die Form des Feedbacks: Anstelle des erhobenen Zeigefingers bei falschen Antworten sollte eine genaue Erklärung folgen, was Mitarbeiter hätten besser machen können. Das stellt den optimalen Lernerfolg langfristig sicher. Dabei ist es vorteilhaft, wenn die Situationen einen engen Bezug zum Arbeitsalltag der Angestellten haben.
Sicherheitsbewusstsein schaffen
Mitarbeiter ausschliesslich über aktuelle Angriffsmethoden wie Phishing oder Malware aufzuklären, reicht bei Weitem nicht aus. Ein ganzheitliches Schulungskonzept geht auch auf die veränderten Rahmenbedingungen ein und macht auf diesem Weg dem Personal die potenziellen Risiken bewusst. Dazu zählen etwa der sichere Einsatz von Smartphones, Tablets oder Cloud-Diensten, der Umgang mit Passwörtern sowie die Bedeutung von aktuellen Gesetzen rund um den Datenschutz wie etwa die EU-DSGVO. Auch die aktuellen Angriffsmuster von Cyberkriminellen stehen auf dem Stundenplan. Denn Hacker setzen neben modernsten Technologien verstärkt auf Social Engineering: Dabei versuchen sie, Mitarbeiter für ihre kriminellen Machenschaften zu manipulieren.
Unternehmen sicherer machen
Geschulte Mitarbeiter leisten einen wesentlichen Beitrag zur IT-Sicherheit. Allerdings reicht ein einmaliger Kurs nicht aus, um das Sicherheitsniveau langfristig zu halten. Hier bedarf es regelmässiger Massnahmen, um das Wissen um IT-Risiken zu wiederholen und aufzufrischen. Auch Unternehmen profitieren davon, wenn ihr Personal geschult ist. Denn das Risiko teurer Cyberattacken sinkt. Gleichzeitig lassen sich Bussgelder für Datenschutzverstösse vermeiden. Ausserdem verbessern Firmen damit ihre Position im Wettbewerb. Gegenüber Kunden und Mitbewerbern präsentieren sie sich als zuverlässiger Partner, der das Thema IT-Sicherheit ernst nimmt.
----------
Eine aktive Security-Awareness der Mitarbeiter ist entscheidend
Kriminelle greifen immer gezielter Unternehmen an und passen sogar auch ihre Lösegeldforderungen individuell an. Wie Awareness-Trainings die Mitarbeiter darauf schulen und aktiv für das Thema sensibilisieren, beschreibt Cornelia Lehle, Sales Director Schweiz bei G Data. Interview: Coen Kaat
Was ist die grösste Gefahr aus dem Cyberraum für die Mitarbeiter eines Unternehmens?
Cornelia Lehle: Unternehmen werden immer gezielter angegriffen. Wir beobachten aber nicht nur eine steigende Zahl von Cyberattacken auf Unternehmen, sondern auch neue Strategien bei den Hackern. Kriminelle passen die Lösegeldforderungen so an, dass das Unternehmen sich die Zahlung der Summe gerade noch so leisten kann. Gleichzeitig legen Hacker an Geschwindigkeit zu. Wir haben im vergangenen Jahr beobachtet, dass die Täter bis zu 200 neue Versionen von bestimmten Malware-Familien pro Tag an die Opfer bringen. Das bedeutet, dass durchschnittlich alle sieben Minuten eine neue Version des Schadprogramms in Umlauf kommt.
Wie können Unternehmen diese Gefahr eindämmen?
Ein klassischer Antivirenschutz alleine reicht längst nicht mehr aus. Als erster Schritt bietet sich ein Security-Assessment an. Damit erhalten Unternehmen einen guten und kosteneffizienten Überblick über mögliche Schwachstellen in der eigenen IT. Ein solcher Status-Check steht in aller Regel am Anfang des komplexen Themas IT-Security. Mitarbeitern kommt aber auch eine entscheidende Rolle zu, wenn es darum geht, einen Cyberangriff abzuwehren. Gerade für kleine und mittelständische Unternehmen ist eine aktive Security-Awareness ihrer Mitarbeiter entscheidend. Dabei sollte ein regelmässiges Training zur IT-Security ebenso selbstverständlich sein wie solche zum Brandschutz oder zur Ersten Hilfe.
Welche Hilfe können die Schweizer KMU dabei von G Data erwarten?
Angesichts der veränderten Sicherheitslage versteht sich G Data nicht ausschliesslich als reiner Anbieter von Antivirenlösungen. Unter dem Begriff Cyber Defense Services bieten wir einen ganzheitlichen Schutz unserer Kunden gegen Cybercrime an. Wir haben unser Portfolio in den vergangenen Jahren stark ergänzt und bieten von der Endpoint-Protection über Security-Assessments bis hin zu einem eventuell notwendigen Notfalleinsatz – Stichwort: Incident-Response – alle notwendigen Dienste aus einer Hand an. Ganz neu im Portfolio sind unsere Security-Awareness-Trainings. Dafür haben wir auch unser Team in der Schweiz personell verstärkt.
Was beinhalten diese Awareness-Trainings alles?
Unsere E-Learning-Plattform umfasst mehr als 30 Security-Awareness-Trainings. Diese lassen sich individuell priorisieren. Das didaktische Konzept kombiniert Texte, Videos und Multiple-Choice-Fragen, die sich in Form von 10- bis 15-minütigen Lektionen leicht in die tägliche Arbeit integrieren lassen.
Mit welchen Massnahmen können Unternehmen das Wissen um IT-Risiken ihrer Mitarbeiter aktuell halten?
Es ist ja bekannt, dass Menschen im Laufe der Zeit Dinge vergessen, die sie gelernt haben. Darum ist es wichtig, neu erlangtes Wissen immer wieder aufzufrischen und zu wiederholen. Hier helfen regelmässige, kurze Trainingsimpulse, damit die Mitarbeiter neues Wissen erlangen und gleichzeitig Gelerntes vertiefen. Ausserdem können die Trainings individuell auf die unterschiedlichen Bedürfnisse und den individuellen Wissensstand der Mitarbeiter angepasst werden und stehen den Schweizer KMUs nicht nur in Deutsch und Englisch, sondern selbstverständlich auch in Italienisch und Französisch zur Verfügung.
Wieso man nicht ziellos herumirren sollte beim Telefonieren
Wie der IT-Arbeitsplatz von morgen gemäss ADN aussieht
Schweden seit Nato-Beitritt verstärkt im DDoS-Visier
Schweizer Strafverfolger überwachen etwas weniger, holen aber mehr Auskünfte ein
KI bei Cyberangriffen: Zukunftsmusik oder reale Bedrohung?
HPE und Bosch bringen Lösungen zusammen für Digital Twins
Ergon wächst zweistellig
Scammer kommen via Phishing-Mail an Facebook-Bezahldaten
SAP würdigt seine Schweizer Lieblingskunden
