:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c1/54c16a567692f949cac390626820b34e/0115102427.jpeg "Die Balance zwischen fortschrittlicher Technologie und dem Schutz unserer menschlichen Identität zu wahren ist eine Gratwanderung. (Bild: Andrea Danti - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6f/44/6f442605378b21b6a1ad080455818d7e/0115182398.jpeg "Unternehmen sollten wirksames Risikomanagement zeitnah umsetzen, bevor sie von der endgültigen deutschen Gesetzgebung zur NIS2-Richtlinie noch überrascht werden. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/27/d9/27d93d4db274659ea08f4acf24d690c9/0113633997.jpeg "Ein Passkey ist ein auf dem Public-Key-Verfahren basierendes, sicheres Anmeldeverfahren ohne Passwort. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Security Awareness als Grundlage für effektive Cyberabwehr Cybersecurity lebt vom Teamwork
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
Die Maschen der Hacker und Betrüger werden immer ausgeklügelter. Waren Phishing-E-Mails früher einmal leicht zu erkennen, so ist dem heute lange nicht mehr so. Irren ist menschlich – und die Gefahr, einen schwerwiegenden Sicherheitsfehler bei der Nutzung von Online-Kommunikation, wie E-Mails oder Collaboration-Tools, zu begehen, steigt entsprechend mit.
Security Awareness Training ist eines der effektivsten Mittel, um dieser Art von Fehlern entgegenzuwirken. Viele deutsche Unternehmen bieten bereits eine Form von Schulungen zur Sensibilisierung der Mitarbeitenden an. Nach dem aktuellen Lagebericht zur E-Mail-Sicherheit von Mimecast passiert dies allerdings erst bei 30 Prozent der befragten Organisationen auf einer kontinuierlichen Basis. Die Mehrheit der Befragten bietet solche Trainings nur einmal im Monat, vierteljährlich oder noch seltener an. Besonders beliebt sind hier Gruppentrainings mit dem eigenen IT- oder Sicherheitsteam.
Den Mehrwert von Trainings kommunizieren
Um den größtmöglichen Nutzen aus einem Security-Awareness-Programm zu ziehen, müssen die Trainings und ihr Kontext in der gesamten Organisation verankert werden. Security Awareness Training ist in vielen Unternehmen zu unverbindlich. Die Mitarbeitenden sehen es dann bestenfalls als eine Aufgabe zum Abhaken, als eine Übung zur Einhaltung von Vorschriften. Oft fehlt ihnen schlichtweg ein greifbarer Kontext, warum eine kontinuierliche Schulung in diesem Bereich wichtig ist. Die Kommunikation spielt dabei eine unglaublich zentrale Rolle. Wenn die Ergebnisse an die Angestellten weitergegeben werden, fördert dies unter anderem ein Umfeld offener bidirektionaler Kommunikation ohne Vorurteile. Mitarbeitende wissen dann nicht nur dass, sondern auch warum das Klicken auf einen potentiell schädlichen Link fatale Folgen haben kann. Gleichzeitig wird das Melden verdächtiger E-Mails gefördert. Angestellte brauchen sich nicht davor zu scheuen, eine potenziell bösartige E-Mail zu melden, unabhängig davon, ob es sich um einen Fehlalarm handelt.
Sicherheitsbewusstseins muss in die Unternehmenspolitik
Es ist von entscheidender Bedeutung, dass Unternehmen Schulungen zum Sicherheitsbewusstsein in ihre Personalpolitik integrieren. Fehler geschehen. Doch statt einer frustrierenden Fehler-Fixierung sei allen Unternehmen eine positive Kultur in Sachen IT-Verantwortlichkeit empfohlen. Eher sollten sie Mitarbeitenden Belohnungen in Aussicht stellen, wenn diese im Bereich des Sicherheitsbewusstseins gute Leistungen erbringen, als den einen oder anderen möglichen Fehlalarm anzuprangern. Das kann zum Beispiel die Vergabe von Anreizen für die regelmäßige Meldung verdächtiger E-Mails an die IT-Abteilung oder für die Teilnahme an Schulungsprogrammen sein. Cybersicheres Verhalten sollte außerdem ein regelmäßiger Bestandteil von Mitarbeitergesprächen sein.
Mitarbeitende ermutigen, Fehler zu melden
Jeder macht Fehler. Selbst gut ausgebildete Fachkräfte können versehentlich auf einen bösartigen Link klicken. Je früher sich die IT-Abteilung dessen bewusst ist, desto größer ist die Chance, dass der Schaden begrenzt werden kann. Daher ist eine offene Unternehmenskultur unabdingbar, in der die Angestellten keine Angst haben müssen, Fehler zu melden. Vielmehr sollten IT-Verantwortliche auf das proaktive Anzeigen eines Fehlers mit Anerkennung und schneller Hilfe reagieren.
Awareness Training als Anforderung für offene Stellen
Bereits die Stellenausschreibung sollte klarstellen, dass Security Awareness Trainings Teil der ausgeschriebenen Position sind und im Unternehmen ernst genommen werden – zum Autofahren benötigt man schließlich auch einen Führerschein. Daran angelehnt sollte für alle Mitarbeitenden ersichtlich sein, wie wichtig es ist, auch im Bereich Cyber-Security die nötigen Qualifikationen mitzubringen, um die jeweiligen Geschäftssysteme zu bedienen. Es ist also wie ein ‚Führerschein‘ für die Cybersicherheit. Und ist es als Arbeitgeber nicht ganz normal, bestimmte Anforderungen an potentielle neue Mitarbeitende zu stellen? Darüber hinaus ist sicheres Online-Verhalten eine Fähigkeit, die sich auf das Privatleben der Angestellten übertragen lässt, von der auch Familie und Freunde profitieren können, und die vom Arbeitgeber völlig kostenlos angeboten wird.
Cyber-Security ist Teamwork
Die Cyberabwehr eines Unternehmens ist nur dann voll funktionstüchtig, wenn alle Mitarbeitenden dazu beitragen. Es ist einfacher, neuen Angestellten von Anfang an bewusst zu machen, dass IT-Sicherheitstrainings zu ihrem Job gehören, als dienstältere Kolleginnen und Kollegen nachträglich in Sachen IT-Sicherheit mit an Bord zu holen. Auch hier muss klar kommuniziert werden, dass es das gesamte Team braucht, um das Unternehmen vor Cyberangriffen zu schützen. Schulungsprogramme werden automatisch wohlwollender angenommen, wenn Verantwortliche offen über deren positive Ergebnisse berichten und anschaulich darstellen, welche Fortschritte die Firma als Gesamtes durch den Einsatz jedes Einzelnen schon gemacht hat. Das können so einfache Dinge sein wie ein wöchentlich aktualisiertes Dashboard zur sinkenden Zahl ‚gefährlicher‘ Klicks und vermehrt gemeldeten E-Mails. Eine Art freundschaftlicher Wettbewerb zwischen den Abteilungen motiviert so Mitarbeitende zusätzlich.
Auf die Tonalität kommt es an
Wer sich immer als latent ‚verdächtig‘ fühlen muss, bei der täglichen Arbeit dem Unternehmen ungewollt eher zu schaden als zu nutzen, kann seine Kreativität und seine guten, impulsiven Ideen bald nicht mehr ausschöpfen. Folgen können das berüchtigte „Bore-Out“ oder auch innere Kündigung sein. Doch es geht anders: Freies Arbeiten im geschützten, gemanagten Rahmen – das sollte die Formel sein. Und sie lässt sich gut kommunizieren: Subtile Anpassungen im Sprachgebrauch zum Beispiel können Wunder wirken und sicherstellen, dass das Thema Sicherheitsbewusstsein im Unternehmen besser ankommt. Mitarbeitenden, die im Rahmen von Trainings nicht als „Endnutzer“, sondern als „Cyber-Bürger“ angesprochen werden, fällt es leichter, cybersicheres Verhalten als kontinuierlichen Lernprozess in ihrem Mindset zu verankern. Und das nicht nur als Angestellte im Büro, sondern überall und jederzeit.
Mitverantwortung für die Sicherheit
Security Awareness Training ist als kontinuierlicher Bestandteil einer mehrschichtigen Cyberabwehr genauso wichtig wie beispielsweise das Up-to-date-halten von Sicherheitssoftware. Immer mehr deutsche Unternehmen schulen ihre Angestellten entsprechend. Die besten Ergebnisse können nur erzielt werden, wenn jeder Mitarbeitende die Bedeutung von Sicherheitsschulungen versteht und verinnerlicht. Mit der richtigen Personalpolitik und den richtigen Programminitiativen können Unternehmen sicherstellen, dass die Verantwortung gleichermaßen bei allen liegt – ein großer Gewinn für jedes Unternehmen in Sachen Cyberresilienz.
Über den Autor: Duane Nicol ist Senior Product Manager Awareness Training bei Mimecast.
(ID:48972272)
:quality(80)/p7i.vogel.de/wcms/23/5d/235d6f8b7d05e2a3a5f5308e2696db99/0113879101.jpeg "Sind Cybersecurity-Schulungen zu langweilig, tendieren Mitarbeitende dazu, abzuschalten oder sich schlimmstenfalls nebenbei anderen Aufgaben wie dem Beantworten von E-Mails zu widmen. Das Erfolgsrezept heißt hier: Humor! (Bild: Arcurs Co-op/peopleimages.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/52/6752893c3874bdd20c24ecb9407f8fc2/0115034207.jpeg "Jahrelang haben CISOs dafür gekämpft, dass ihre Vorstände die Cybersicherheit ernster nehmen. Jetzt haben sie es geschafft, und der Ball liegt nun bei ihnen. (Bild: olly - stock.adobe.com)")