Tierney - stock.adobe.com
IT Security: Die Aufmerksamkeit der Mitarbeiter ist wichtig
Das Sicherheitsbewusstsein der Mitarbeiter ist ein wichtiger Faktor für die IT Security eines Unternehmens. Unwissenheit erhöht die Gefahr, Opfer einer Attacke zu werden, erheblich.
Trotz der in den letzten Jahren rasant gestiegenen Berichterstattung über Cyberangriffe und Datenskandale ist das Wissen um die heute existierenden Cybergefahren noch immer nicht in dem Maße verbreitet, wie es die Risiken nahelegen würden. Insbesondere für Unternehmen bedeutet die Unwissenheit der eigenen Mitarbeiter in Bezug auf die IT-Sicherheit ein gesteigertes Risiko, Opfer einer Cyberattacke zu werden.
Unkenntnis von Angestellten
Um den Kenntnisstand von Angestellten zu analysieren, hat Proofpoint mehr als 6.000 Beschäftigte aus Deutschland, den USA, Großbritannien, Frankreich, Italien und Australien über ihr IT-Wissen befragt (PDF). Die Befragung schloss dabei alle Ausbildungslevel und hierarchischen Ebenen eines Unternehmens mit ein und liefert so ein fundiertes Lagebild zum Wissensstand von Beschäftigten beim Thema IT-Sicherheit. Dabei zeugt das Ergebnis der Studie von zum Teil eklatanten Wissenslücken und sollte daher zum Anlass genommen werden, neue Wege im Umgang mit Cyberrisiken zu beschreiten. Denn obgleich wenigstens 69 Prozent der deutschen Studienteilnehmer richtig beantworten konnten, um was es sich bei „Malware“ handelt, so schrumpfte der Anteil an korrekten Antworten bereits bei der Frage nach dem Begriff „Ransomware“ auf nur noch rund ein Viertel (26 Prozent).
Ein Drittel der Befragten gab an, dass WLAN-Verbindungen an öffentlichen Orten wie Hotels, Cafés und internationalen Flughäfen prinzipiell vertrauenswürdig seien und sich somit auch für sensiblen Datenverkehr eigneten. Zudem waren mehr als zwei Drittel aller deutschen Studienteilnehmer (71 Prozent) der irrigen Auffassung, dass sie lediglich ihre genutzte Antivirensoftware auf aktuellstem Stand zu halten hätten, um vor Cyberangriffen geschützt zu sein.
Schon allein diese Ergebnisse sollten die mit der Sicherheit betrauten Verantwortlichen in Unternehmen aufhorchen lassen. Denn weder eine zunehmende mediale Beachtung des Themas noch die rasant fortschreitende Digitalisierung, die zunehmend unseren Alltag prägt, vermögen es, bei Arbeitnehmern ein tiefgreifendes Bewusstsein für Online-Risiken zu schaffen.
Entsprechend sind Unternehmen gut damit beraten, ihre IT-Fortbildungen grundsätzlich zu überdenken. Denn wie auch der letzte Threat Report für das dritte Quartal 2018 zeigt, nutzen Cyberkriminelle immer häufiger die Angestellten als Schwachstelle für ihre Angriffe aus, anstatt sich über technische Sicherheitslücken Zugang zur Unternehmens-IT zu verschaffen. Aus diesem Grund müssen Firmen ihren Mitarbeitern erst mal das nötige Rüstzeug an die Hand geben, so dass diese auf die veränderte Bedrohungslage korrekt reagieren können.
Awareness-Trainings bieten Abhilfe
Die Herausforderung, die Unternehmen aus dem mangelnden Risikobewusstsein ihrer Angestellten erwächst, besteht insbesondere darin, zunächst ein Bewusstsein für Cyberrisiken unter den eigenen Angestellten zu schaffen. In einem zweiten Schritt gilt es, probate Herangehensweisen aufzuzeigen und diese durch stete Wiederholung zu festigen. Das alles beinhalten sogenannte Security-Awareness-Trainings, die im Gegensatz zu klassischen Fortbildungen einen ganzheitlichen Ansatz verfolgen. Neben einer Schulung, die sich den derzeitigen Cyberrisiken und den üblichen Taktiken von Online-Kriminellen ebenso wie der Vermittlung passender Verhaltensweisen widmet, sollen die an dem Training Beteiligten auch mit möglichst realistischen Angriffssimulationen konfrontiert werden.
Gesteigerte Aufmerksamkeit durch vorgetäuschte Attacken
Der Kern solcher Trainings besteht in fingierten Angriffen auf die Mitarbeiter in ihrem Arbeitsalltag. Zu diesem Zweck versucht ein Sicherheitsdienstleister, der über dafür ausgebildetes Personal verfügt, sich mit Hilfe der in der Schulung behandelten Social-Engineering- und Phishing-Techniken Zugang zu sensiblen Unternehmensdaten oder gar der gesamten Firmen-IT zu verschaffen.
„Umdenken erfordert Mut, der mittel- und langfristig aber das Risiko minimiert, Opfer von Kriminellen zu werden.“
Georgeta Toth, Proofpoint
Ist die Attacke des Sicherheitsspezialisten von Erfolg gekrönt, da ein Angestellter entgegen der zuvor einstudierten Abläufe agiert, wird der betreffende Mitarbeiter umgehend darauf hingewiesen, um einen Lerneffekt zu erzielen. Darüber hinaus werden ihm direkt kurze Online-Kurse angeboten, damit er künftig besser für einen Angriff gewappnet ist und richtig reagieren kann. So wird sichergestellt, dass die Beschäftigten spielerisch den richtigen Umgang mit Cyberbedrohungen erlernen und auch in ihrem Arbeitsalltag stets wachsam bleiben.
Aktuelle Cyberbedrohungen erfordern Mut zum Umdenken
Während bislang zumeist auf technische Lösungen vertraut wurde – die natürlich nicht vernachlässigt werden dürfen – erfordert die veränderte Herangehensweise von Online-Kriminellen auch ein Umdenken auf Unternehmensseite. Die Mitarbeiter müssen dabei im Mittelpunkt stehen. Denn sie sind es, die Cyberkriminellen die größte Angriffsfläche bieten und zugleich in erheblichem Maß dazu beitragen können, eine Firma vor Gefahren zu bewahren. Ein solches Umdenken erfordert Mut, der mittel- und langfristig aber das Risiko minimiert, Opfer von Kriminellen zu werden.
Über den Autor:
Georgeta Toth ist Senior Regional Director CEEMEA bei Proofpoint.