Mitarbeitende stellen IT-Sicherheit im Mittelstand immer wieder auf die Probe
Unaufmerksame Angestellte öffnen bei erfolgreichen Cyberattacken immer wieder die Tür ins Netzwerk. E-Mails sind dabei weiterhin der Angriffsweg Nummer eins in IT-Systeme. Die Fallstricke beim Thema Security Awareness beleuchtet eine aktuelle Umfrage von G Data Cyberdefense.
IT-Sicherheit gehört bei den meisten Mitarbeitenden ausserhalb der IT-Abteilung nicht zu den Kernkompetenzen. Die Folge: Jedes zweite Unternehmen war bereits infolge eines Fehlers eines Angestellten Opfer einer Cyberattacke – mit zum Teil gravierenden Konsequenzen. Viele Mitarbeitende sind unsicher im Umgang mit der IT und anfällig für Fehler. Cyberkriminelle nutzen das konsequent aus und nehmen das Personal gezielt ins Visier. Längst ist klar, dass der alleinige Einsatz von Endpoint-Protection-Lösungen nicht ausreicht, um Cyberattacken abzuwehren. Vielmehr müssen Unternehmen die Angestellten zum Teil ihres Sicherheitskonzeptes machen.
IT-Sicherheit – eine Kostenfrage?
Das Potenzial ist durchaus vorhanden, um die IT-Sicherheit signifikant zu verbessern, aber viele mittelständische Unternehmen lassen die Chance ungenutzt. Insbesondere kleinere Unternehmen führen nur einmalige Veranstaltungen zur Wissensvermittlung durch – anstelle umfassender Schulungen über einen längeren Zeitraum. Alternativ informieren die Verantwortlichen die Beschäftigten gelegentlich mit einem Newsletter über aktuelle Bedrohungen oder stellen Informationen im firmeneigenen Intranet bereit. Solche Massnahmen sind weder zielführend noch nachhaltig.
Wer kurzfristige Massnahmen umsetzt, spart sicherlich Kosten – im Vergleich zum Einsatz einer E-Learning-Plattform. Eine nachhaltige Verhaltensänderung und wirkliche Sensibilisierung in Bezug auf das IT-Sicherheitsbewusstsein erfolgen aber nicht. Dabei sollten Verantwortliche einfach die Kosten eines mehrtägigen Betriebsausfalls nach einem IT-Vorfall den Investitionen gegenüberstellen, um die Opportunitätskosten von Security-Awareness-Trainings zu berechnen. Das gilt insbesondere in der aktuellen Coronapandemie, die besondere Anforderungen an Unternehmen und Mitarbeitende stellt. Angestellte sind durch die Pandemie, Homeschooling und Vereinsamung einem höheren Druck ausgesetzt. In solchen Situationen sind sie anfälliger für Social Engineering. Gerade in der aktuellen Homeoffice-Phase ist eine gute Security Awareness wichtiger denn je, damit sie auch in Stresssituationen die richtigen Entscheidungen treffen und mögliche Angriffsversuche frühzeitig abwehren.
Positive Effekte durch Awareness Trainings
Die aktuelle Umfrage zeigt, dass Unternehmen auf umfassende Security-Awareness-Trainings setzen sollten. So schulen sie ihre Mitarbeitenden nachhaltig im Thema IT-Sicherheit und statten sie mit dem nötigen Wissen aus, um Cyberattacken sicher abzuwehren. Diese Massnahme ist wirksam und die Investition lohnt sich: 78 Prozent der befragten Mittelständler haben hierdurch ihre IT-Sicherheit gesteigert und Angestellte gehen vorsichtiger mit den IT-Systemen um. Wer weitsichtig handelt und das Sicherheitsbewusstsein der Mitarbeitenden stärkt, investiert auch in die Zukunftsfähigkeit des eigenen Unternehmens.
----------
Tempo ist ein schlechter Ratgeber
Wer sein Unternehmen vor Cyberattacken schützen will, braucht nicht nur zeitgemässe Technologien, sondern muss auch die Mitarbeitenden in das Sicherheitskonzept einbinden. Welche Rolle sie dabei spielen und wie Unternehmen ihre Belegschaft für IT-Sicherheit sensibilisieren können, erklärt Cornelia Lehle, Sales Director bei G Data Schweiz. Interview: Coen Kaat
Welche Mitarbeitenden sind besonders gefährdet, wenn es um Cybersecurity geht?
Cornelia Lehle: Grundsätzlich betrifft IT-Sicherheit jede und jeden. Gleichzeitig gehört Security aber nicht zur ihren Kernkompetenzen – insbesondere, wenn die Mitarbeitenden nicht aus dem IT-Umfeld stammen. Viele Angestellte beherrschen ihre Anwendungen, sind aber trotzdem unsicher im Umgang mit der IT und daher anfällig für Fehler. Kriminelle nutzen das menschliche Verhalten, wie Hilfsbereitschaft oder Neugier, konsequent aus. Ein typisches Beispiel bei Unternehmen sind gefälschte Bewerbungen oder Rechnungen mit infizierten Dateianhängen. Mitarbeitende schenken Routineaufgaben meist wenig Aufmerksamkeit, daher schlagen Angreifer an dieser Stelle gerne zu. Darüber hinaus setzen sie ihr Opfer unter Zeitdruck und zwingen sie so zum unüberlegten Handeln.
Was sollten Mitarbeitende in Bezug auf Cybersecurity unbedingt schnellstmöglich lernen?
Tempo ist bei IT-Sicherheit ein schlechter Ratgeber. Viel wichtiger ist, dass die Mitarbeitenden langfristig sicherer im Umgang mit der IT werden. Daher sind ein- oder zweitägige Präsenzschulungen wenig zielführend. Auch ein Youtube-Video über die Erkennungszeichen einer Phishing-Mail reicht nicht aus, um Angestellte zu sensibilisieren. Aus meiner Sicht besteht bei einigen Tools sogar die Gefahr der Schulungsmüdigkeit, weil sie wenig hilfreich sind und für Verunsicherung sorgen. Eine kontinuierliche Sensibilisierung mit aktuellen Beispielen aus der Schweiz funktioniert aus meiner Erfahrung heraus am besten, um das Team bestmöglich und regelmässig auf die aktuellen Gefahren aufmerksam zu machen. In dem Zusammenhang ist eine Firmenkultur unabdingbar, die Mitarbeitende schützt, wenn sie beispielsweise auf eine echte Phishing-Mail geklickt haben. Angestellte blosszustellen ist der falsche Weg und führt dazu, dass andere versuchen werden, ihre Fehler zu vertuschen. Nur wer offen über dieses Verhalten spricht und es nicht sanktioniert, schafft innerhalb der Belegschaft ein Bewusstsein für das bestehende Risiko.
Was sollte ein Security-Awareness-Training alles umfassen?
Um das Thema vollständig abzudecken, braucht es einen umfassenden und langfristig ausgelegten Lehrplan, mit dem sich nach neuesten Lernmethoden Wissen bedarfsgerecht vermitteln lässt. So sollten die Trainings auch die Frage beantworten, worauf Mitarbeitende beim Arbeiten ausserhalb des Büros und an öffentlichen Orten achten sollten. Unabdingbar sind natürlich Lerneinheiten zu sicheren Passwörtern oder zur Nutzung der geschäftlichen Zugangsdaten im privaten Umfeld. Ebenso gehören Fragestellungen, wie Mitarbeitende Malware und Phishing-Versuche erkennen, wie Cyberkriminelle sie für ihre Angriffe manipulieren oder was bei IT-Security-Vorfällen zu tun ist, auf den Lehrplan. Aus diesem Grund umfassen die Security-Awareness-Trainings von G Data insgesamt 37 Kurse zu den unterschiedlichen Themen.
Wie sieht die ideale Wissensvermittlung an Mitarbeitende aus?
Wer das Thema grundlegend angehen und nachhaltig bei seinen Mitarbeitenden verankern will, sollte unbedingt auf Kontinuität und Aktualität setzen. Informationen zu neuen Angriffsmethoden müssen schnellstmöglich die relevanten Mitarbeitenden erreichen. Unsere E-Learnings können dazu individuell angepasst werden und funktionieren standortunabhängig. Insbesondere für komplexere Themen oder umfangreichere Inhalte eignen sich Learning Journeys. Die Themen lassen sich in einzelne Sinnabschnitte aufteilen und über weitere Lerneinheiten vertiefen. Mit Learning Journeys bilden sich Lernende etappenweise fort und bauen Stück für Stück immer tiefer gehendes Wissen auf. Wichtig ist dabei, neu erlangtes Wissen immer wieder aufzufrischen und zu wiederholen.
Gibt es etwas, das Unternehmen schon jetzt schnell und einfach umsetzen könnten, um zumindest ein wenig sicherer zu sein?
Natürlich lässt sich bereits mit drei einfachen Massnahmen auch unabhängig von Awareness-Schulungen das Sicherheitsniveau verbessern. Erstens: Installieren von Updates und Patches, denn Sicherheitslücken in Programmen auszunutzen, ist eine der beliebtesten Methoden von Cyberkriminellen. Ein zentrales Patch Management hilft dabei, die Software auf allen Clients aktuell zu halten und Schadsoftware so möglichst wenig Angriffsfläche zu bieten. Zweitens: Regelmässig Backups anlegen. Dabei sollten Unternehmen die Verbindung zum Speichermedium nach jedem Backup trennen sowie regelmässige Backup-Tests, also Notfallübungen, einführen. Drittens: Mit signierten Makros sind Unternehmen auf der sicheren Seite. Für die wenigen Fälle, in denen der Einsatz von Makros unabdingbar ist, sollte das Unternehmen ausschliesslich signierte Makros verwenden und per Gruppenrichtlinie unsignierte Makros unternehmensweit deaktivieren. Und zu guter Letzt empfehle ich eine Phishing-Simulation, um das IT-Sicherheitsniveau zu messen. Mit diesem Tool erfahren Verantwortliche, ob und wie viele Mitarbeitende eine gefährliche Mail geöffnet und unter Umständen den enthaltenen Link angeklickt haben. Sie wissen auf einen Blick, wie gross der Handlungsbedarf ist. Und an welcher Stelle sie optimieren sollten.
Wie der IT-Arbeitsplatz von morgen gemäss HP aussieht
Umfassende Cybersicherheit für OT-Umgebungen
TIM und Veritas: Der ultimative Schutz vor Ransomware-Angriffen für Schweizer Unternehmen
"Wir suchen Partner, die wachsen möchten"
Peoplefone lanciert Mobile-Abos für Geschäftskunden
Update: Österreichischer Investor übernimmt Devolo
Die wichtigsten Werkzeuge für die Abwehr
Logpoint hat neu zwei Partnerprogramme
Cybersicherheit mit Infinigate Cloud
