Mitarbeiter als Verteidigungslinie Arbeitnehmer werden zu Cybersecurity-Experten

Von Lena Smart

Für erfolgreiche Hackerangriffe werden von CEOs und Führungskräften häufig die eigenen Arbeitnehmer verantwortlich gemacht, da sie oft diejenigen sind, die auf Phishing Mails oder betrügerische Links reinfallen, und damit den Hackern Zutritt in das Unternehmensnetzwerk ermöglichen. Dabei sollte das Ziel eher sein, aus den Mitarbeitern Security-Experten zu machen, die solche Tricks erkennen können.

Anbieter zum Thema

Um Sicherheitslücken zu umgehen, müssen Unternehmen intern eine Strategie entwickeln, wie sie die eigenen Mitarbeiter ausreichend ausbilden und auf den „Ernstfall“ vorbereiten.
Um Sicherheitslücken zu umgehen, müssen Unternehmen intern eine Strategie entwickeln, wie sie die eigenen Mitarbeiter ausreichend ausbilden und auf den „Ernstfall“ vorbereiten.
(© Olivier Le Moal - adobe.stock.com)

In den letzten Jahren sind Hackerangriffe leider schon fast zur Gewohnheit geworden. Und auch wenn viele Unternehmen sich bereits umfassend mit Sicherheitsmaßnahmen schützen, reicht das in vielen Fällen nicht aus. Denn Cybersecurity-Gefahren sind durch die Pandemie nicht weniger geworden. Branchenanalysten sagen voraus, dass Cyberkriminalität die Weltwirtschaft bis 2021 jährlich 6 Billionen US-Dollar kosten wird. Denn durch Home-Office und Remote in Zeiten einer weltweiten Pandemie sind die Sicherheitsstandards zuhause meist niedriger als auf dem eigenen Firmenstandort.

So manches Unternehmen und CEOs machen aufgrund dessen ihre eigenen Arbeitnehmer für Datenlecks und Sicherheitslücken in Unternehmensnetzwerken verantwortlich und stellen sie häufig als schwächstes Glied in der Kette dar. Das führt oftmals zu noch größerer Unsicherheit und wenig Selbstvertrauen in die eigenen Fähigkeiten. Sollten Mitarbeiter dann doch Fragen zu besseren Sicherheitsmaßnahmen haben oder Hinweise einfordern, werden die häufig mit oft gehörten Standardtipps beantwortet:

  • Nutzen Sie sichere differenzierte Passwörter oder Zwei-Faktor-Authentifizierung!
  • Verschlüsseln Sie ihre internen Geräte!
  • Installieren Sie eine Anti-Viren-Software!
  • Und vor allem: Klicken Sie nicht auf Links in E-Mails unbekannter Absender!

Diese Tipps tragen zwar grundsätzlich dazu bei, den eigenen Arbeitsplatz sicherer zu machen. Doch mittlerweile sind Phishing-Mails und fälschliche Links, durch die sich Hacker den Zugriff auf Unternehmens-Netzwerke verschaffen, gar nicht mehr so leicht zu erkennen. Häufig sind diese vertrauenserweckend getarnt und kaum mehr von ungefährlichen Mails zu unterscheiden. Der trügerische Unterschied: Phishing Mails beschaffen unternehmensinterne oder persönlicher Daten durch Links, die bei deren Anklicken, Viren oder ähnliches fördern und Hackern so offene Türen in die Cloud oder den Server verschaffen.

Umso wichtiger ist es, die eigenen Mitarbeiter regelmäßig über neueste Sicherheitsmaßnahmen zu informieren, sie zu schulen, auszubilden und Sicherheits-Tools einzuführen, die sie vor Hackerangriffen schützen können. Dazu gehören unter anderem Anti-Malware Software, Verschlüsselung oder auch automatisch externe E-Mails zu markieren. Dabei ist es die Aufgabe von Führungskräften, Arbeitnehmer zu stärkeren, ausgebildeten Spezialisten in Sachen Cybersecurity werden zu lassen. Erst wenn das persönliche Interesse an der Sicherheit des Unternehmens beim Mitarbeiter steigt, kann auch deren eigenes Engagement für Security erhöht werden.

Sollten Mitarbeiter dann doch einmal in den Zugzwang gekommen sein, den „falschen“ Link angeklickt zu haben, sollte schnell gehandelt werden. Demnach sind Ansprechpartner wichtig zu denen die betroffenen Mitarbeiter ein gutes Vertrauensverhältnis pflegen. Denn oftmals finden häufig Schuldzuweisungen gegen Arbeitnehmer statt, die Sicherheitsrisiken ausgelöst haben. Infolgedessen haben viele Mitarbeiter gar nicht mehr den Mut, von gemachten Fehlern zu berichten und löschen häufiger Mails oder ähnliches, von denen sie ausgehen, sie könnten als „Beweise“ fungieren. Jedoch ist die Basis einer schnellen Fehlerkorrektur Ehrlichkeit gegenüber dem Experten, damit dieser schnell und vor allem richtig handeln kann.

Folglich kann eine Lösung dafür ein Team aus kompetenten Sicherheitsexperten sein, die mit den Arbeitnehmern eng zusammenarbeiten und bei Sicherheitsfragen unterstützen. So haben Mitarbeiter die Möglichkeit Fragen zu stellen, Probleme zu beseitigen oder sich zum Thema Cybersecurity weiterzubilden. Außerdem kann sich auf direktem und schnellem Weg einem vermeintlichen falschen Link-Klick gewidmet werden, sodass gemeinsame Learnings entstehen. Der Mitarbeiter kann sich dadurch bei späteren Datenlecks schneller helfen und diese Erfahrung weitergeben. Arbeitnehmer, die früher das „schwächste“ Glied der Kette waren, können so „Erste-Hilfe-Security-Experten“ werden, die ein erstes Gefühl für Unternehmenssicherheit entwickeln. Mitarbeiter haben so die Chance, aktiv ihr Unternehmen zu unterstützen und auch mehr Selbstvertrauen in die eigene Arbeit zu gewinnen.

Um Sicherheitslücken zu umgehen, hilft es also nicht nur die oft-gehörten Ratschläge zu beherzigen, sondern intern eine Strategie zu entwickeln, die eigenen Mitarbeiter ausreichend auszubilden und auf den „Ernstfall“ vorzubereiten. Sicherheits-Learnings können dann über Deep Dives, Meetings, Wiki-Pages oder Slack-Channels weitergebenen werden um weitere Kollegen zu involvieren, Fähigkeiten zu vertiefen oder zu neuen Security-Maßnahmen upzudaten. Intern kann sich so eine Einheit aus Menschen entwickeln, die zusammen Cybersecurity-Probleme bewältigen und zukünftig auf einen positiven Rückgang von Phishing-Mail-Versuchen zurückblicken können. Denn ein 100-Prozentiger Schutz vor Cyber-Security-Problem ist nicht möglich, eine 100-Prozentige Vorbereitung aber schon.

Über die Autorin: Lena Smart ist Chief Information Security Officer bei MongoDB und kam im März 2019 zum Unternehmen. Sie verfügt über mehr als 25 Jahre Erfahrung in der Sicherheitsbranche und hat diese Erfahrung genutzt, um MongoDB durch die Pandemie zu führen.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:47907685)