Security Awareness
Cybersicherheit im Unternehmen: Jeder Mitarbeiter zählt
Human Firewall
Von Stefan Buchta, Vertriebsleiter Süd bei Axians IT Security
Aktuell gibt es einen regelrechten Digitalisierungsschub, was Unternehmen flexibler macht, aber gleichzeitig auch verletzlicher für Bedrohungen durch Kriminelle. Technische Lösungen zur Absicherung von Hard- und Software allein schützen davor nicht, denn inzwischen tarnen Angreifer sich und ihre Attacken derart gut, dass sie nicht immer von diesen Anwendungen erkannt werden. Auf die professionelle und individuelle Schulung der gesamten Belegschaft kommt es an, um eine zuverlässige menschliche Firewall zu schaffen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt die Höhe des jährlichen volkswirtschaftlichen Schadens von Cyber-Delikten, die mit gezielten Phishing-Attacken beginnen, in Deutschland mit einem mindestens zweistelligen Millionenbetrag an.
Ein hundertprozentiger Schutz vor Cyberkriminalität ist unmöglich, dennoch lohnt es sich für Unternehmen, in die Prävention zu investieren, um Schäden abzuwenden. Um zu erfahren, an welcher Stelle sie ansetzen sollten, können Unternehmen mit Hilfe des Axians Cyber Security Checks den aktuellen Stand ihrer Cybersicherheit herausfinden. Mit diesem Selbsteinschätzungstest messen sie den sogenannten Reifegrad der Cybersicherheit im Unternehmen.
Mit dem Einsatz technischer Mittel ist es jedoch nicht getan. Es gilt, die Belegschaft für Cybergefahren – insbesondere Phishing – zu sensibilisieren, denn sie ist oft die erste Hürde, die Angreifern auf dem Weg ins Unternehmen begegnet.
Mit Social Engineering beispielsweise setzen die Kriminellen direkt beim Opfer an. Statt Schwachstellen in technischen Systemen zu suchen, versuchen sie über den Menschen einen Weg hinein zu finden. Sie geben sich als Techniker oder Chef aus und manipulieren ihre Opfer, um an vertrauliche Informationen wie Zugangsdaten zu gelangen oder überzeugen sie davon, ihnen Geld zu überweisen.
Eine beliebte Methode des Social Engineering ist das Phishing. Was einmal schlecht übersetzte und offensichtliche Spammails waren, sind inzwischen täuschend echt wirkende Nachrichten, mit denen Hacker versuchen, sensible Daten zu erbeuten oder in ein System zu gelangen. Die E-Mails warnen zum Beispiel davor, dass das Konto bei einem Onlinedienst wie Office 365 gesperrt wird, wenn der Empfänger nicht seine Daten auf einer täuschend echt wirkenden verlinkten Seite eingibt, die in Wirklichkeit den Kriminellen selbst gehört.
Außerdem verbreiten Hacker Schadsoftware per E-Mail. Ein Klick auf einen Link in einer E-Mail und schon öffnet sich eine mit Schadsoftware infizierte Webseite. Auch die Anhänge können Malware enthalten. Warnmeldungen werden im Eifer des Gefechtes weggeklickt und Malware nachgeladen. Angreifer dringen darüber ins System ein, übernehmen die Kontrolle, verschlüsseln Daten oder sammeln sensible Informationen für weitere Angriffe.
Weitere Risiken stellen beispielsweise im Unternehmensumfeld deponierte, mit Schadsoftware präparierte USB-Sticks dar. Neugier, ein unkonzentrierter Moment oder eine stressige Situation reichen – die Opfer geben Informationen heraus und die Kriminellen haben einen Zugang zum Unternehmen gefunden.
Das hat erhebliche und meist teure Folgen für das Unternehmen. Es spielt keine Rolle, ob es sich um Mitarbeiter aus dem Personalbereich, dem Management oder IT-Spezialisten handelt – jeder kann Ziel eines Angriffs werden. Daher braucht es einen ganzheitlichen Ansatz, um diese Gefahren effektiv und dauerhaft zu bekämpfen. Awareness schaffen lautet hier die Devise, um die gesamte Belegschaft für jegliche Gefahren aus dem Netz zu sensibilisieren.
Individuelles Training erhöht die Erfolgschancen
Klassische Awareness-Trainings in Form von einmaligen Workshops oder Vorträgen genügen den individuellen Anforderungen Einzelner allerdings nicht. Neuzugänge im Unternehmen, die zum ersten Mal mit dem Thema in Kontakt kommen, haben einen ganz anderen Wissensstand als etwa Kollegen aus der Cyber-Security-Abteilung. Deshalb setzen individuelle computerbasierte Cyber Security Awareness Trainings beim jeweiligen Wissensstand der einzelnen Mitarbeiter an.
Diese Trainings bestehen aus einem Dreiklang aus sich ständig wiederholenden Trainings-, Test- und Analyseeinheiten. Diese sind einerseits auf die Unternehmenskultur, die internen Funktionen und Sicherheitsfreigaben, andererseits auf die jeweiligen Stärken, Schwächen und Lerntyppräferenzen der einzelnen Mitarbeiter zugeschnitten. Das heißt, jeder durchläuft einen Kreislauf, im Zuge dessen sein Sicherheits- und Risikobewusstsein langsam und nachhaltig wächst. Dabei wird jeder Teilnehmer aktiv in den Lernprozess miteinbezogen, seine Interaktion ist erforderlich.
Die Trainings starten mit einem Einstufungstest. Darauf aufbauend erhalten die Beschäftigten dann kontinuierlich auf sie zugeschnittene Schulungsinhalte, etwa in Form kurzer, spannender Erklärvideos oder Animationen. Diese decken unterschiedliche Themenbereiche ab, erläutern etwa, wie sichere Passwörter aussehen sollten. Viele Tipps lassen sich auch auf die private Internetnutzung übertragen, wodurch die Nutzer eine zusätzliche Motivation haben, am Training teilzunehmen. Spielerische Elemente wie kleine Wettbewerbe und die Möglichkeit, für gute Leistungen Abzeichen zu erhalten, spornen ebenfalls an, Trainingseinheiten erfolgreich abzuschließen.
Auf die Trainingsphase folgt eine Test- und Analysephase. Individuelle Tests stellen fest, wie weit der Mitarbeiter inzwischen ist und welches Know-how er nun hat. Auf den Analysen aufbauend erhält er nur die Schulungen und Simulationen von Attacken, die für ihn relevant sind.
Mit simulierten Angriffen die Wahrnehmung schärfen
Mithilfe solcher Trainingslösungen lassen sich auch Test-Phishing-Mails verschicken. Hierbei erhalten Mitarbeiter im normalen Arbeitsalltag auf ihren persönlichen Kontext abgestimmte Phishing-E-Mails, auf die die Trainingsphasen sie vorbereitet haben. Die Trainingslösungen erfassen, ob die Beschäftigten den Phishing-Versuch als solchen entlarvt und wie sie darauf reagiert haben – etwa, ob sie ihn gemeldet haben. Verantwortliche erhalten Auswertungen und Analysen der simulierten Angriffe, die den Richtlinien der europäischen Datenschutzgrundverordnung (EU-DSGVO) entsprechen, um den Trainingserfolg festzustellen. Dem Datenschutz wird Genüge getan, dennoch ist es sinnvoll, den Betriebsrat schon vor der Einführung solcher Tools einzubinden. Damit kann das Unternehmen ermitteln, wie effektiv das Training der Mitarbeiter ist, und bei wem welche weiteren Trainingseinheiten erforderlich sind.
Das Erfolgsgeheimnis liegt hier vor allem in der ständigen Wiederholung von Inhalten, die sich auf diese Weise langfristig einprägen und die Belegschaft für Gefahrenquellen sensibilisiert. So lässt sich das Risiko, Opfer eines Hacker-Angriffs zu werden, deutlich senken. Dies bestätigen die Ergebnisse des KnowBe4-Benchmarking-Reports 2020: Während vor Beginn der Trainingseinheiten noch durchschnittlich 37,9 Prozent der Mitarbeiter auf simulierte Attacken hereinfallen, sinkt die Zahl bereits nach drei Monaten auf 14,1 Prozent, nach einem Jahr regelmäßiger Trainings auf nur noch 4,7 Prozent. Das entspricht einer Verbesserungsrate von 87 Prozent.
Da sich die Hacker-Szene international abspielt, ist es für viele Unternehmen ratsam, sich für ein Cyber Security Awareness Training zu entscheiden, das in meheren Sprachen verfügbar ist. Die Trainings sind eine sinnvolle Investition, um das eigene Unternehmen präventiv vor Hacker-Schäden zu schützen, welche das Vielfache kosten können. Neben finanziellen Einbußen, die zum Ruin führen können, droht Unternehmen auch ein erheblicher Imageschaden. Zudem ist das Risiko hoch das Vertrauen ihrer Kunden und Partner zu verlieren.
Die Human Firewall schützt das Unternehmen
Die Sicherheit eines Betriebes hängt maßgeblich von jedem einzelnen Mitarbeiter ab. Mit fortschreitendem Training steigert sich nach und nach das individuelle Sicherheitsbewusstsein und die „Human Firewall“ des Unternehmens wird zunehmend resistenter. Aber ist ein Cyber Security Awareness Training jemals abgeschlossen? Lässt sich ein vollkommener Wissensschatz im Bereich Cybersicherheit überhaupt erreichen? Nein, schließlich tauchen gefühlt täglich neue Hacker-Strategien im Netz auf, auf die niemand vorbereitet ist. Umso wichtiger ist die kontinuierliche Weiterbildung, um jederzeit gegen Angriffe gewappnet zu sein.
