Personalabteilungen vs. Security Awareness? Welche Rolle die HR bei der Security Awareness spielt

03.04.2020

Autor: Stu Sjouwerman, CEO bei KnowBe4

Unternehmen wissen, dass sie in IT-Sicherheit investieren müssen. Doch viele übersehen, dass IT-Sicherheit über den Einsatz der richtigen Technologieprodukte hinausgeht. Menschen haben bei der Sicherheit schon immer eine zentrale Rolle gespielt. Selbst die Vorteile eines erstklassigen Sicherheitsansatzes können von einem Mitarbeiter unterlaufen werden, wenn er auf einen gut vorbereiteten Social Engineering-Angriff wie eine Phishing-E-Mail hereinfällt. Dieser eine Vorfall kann das Unternehmen ins Chaos stürzen, von einem Ransomware-Albtraum bis hin zu einem massiven Datendiebstahl, der sowohl persönliche Daten von Mitarbeiter als auch von Kunden enthüllt.

 

Die meisten Unternehmen betrachten dies als reine Verantwortung des IT-Teams. Doch jedes Thema, bei dem Menschen im Mittelpunkt stehen, ist oft auch ein Thema der Personalabteilung – vor allem wenn es um Schulungsprogramme geht.

 

Security Awareness-Schulungen, die wirksam gegen aktuelle Risiken schützen, können den Unterschied ausmachen, den Unterschied zwischen einem gehackten Unternehmen und einem Unternehmen, dass nicht gehackt wurde. Zwar sind Sicherheitsrichtlinien und -Verfahren wichtig, aber die Mitarbeiter müssen geschult werden, um sie zu befolgen, sonst sind diese nutzlos. Die Schulung für Security Awareness ist besonders wichtig, da sich die Cyberkriminellen immer mehr professionalisieren und ihre Taktiken verbessern, Mitarbeiter zu unvorsichtigen Handlungen zu verleiten. Gefälschte E-Mail-Adressen können einer Anfrage eines CEO mittlerweile überzeugend ähnlich sein und ein beschäftigter Mitarbeiter kann unwissentlich auf einen Phishing-Betrug hereinfallen. Es bedarf eines Sensibilisierungsprogramms der neuen Schule, um das Bewusstsein für diese cleveren Taktiken zu schärfen. Wahrscheinlich bezeichneten auch deshalb 88 Prozent der Befragten einer Umfrage, das Trainings zur Sensibilität für IT-Sicherheitsaspekte der täglichen Arbeit den effektivsten Schutz vor Ransomware darstellt.

 

Einprägsames Training, stärkere Teams

 

Es gibt drei Möglichkeiten etwas Neues zu lernen: darüber lesen, beobachten, wie jemand anderes es tut oder selbst einen Fehler machen. Security Awareness-Trainings greifen oft auf die letzte Dynamik zurück. Da sich viele Compliance-Drive-Programme der alten Schule als ineffektiv erwiesen haben, simulieren moderne Programme oft Phishing-Angriffe auf die Mitarbeiter, um den Prozentsatz derjenigen zu ermitteln, die auf die bösartigen Links klicken. Es ist eine denkwürdigere und persönlichere Lektion, die den Mitarbeitern hilft, ihre eigenen Versäumnisse zu erkennen und zu überwinden.

 

Tausende von IT-Abteilungen halten diese Methoden für sehr effektiv. Doch ebenso viele Personal- und Rechtsabteilungen haben gezögert, solche Programme umzusetzen. Sie befürchten oft, dass das Training, weil es ein Element der Täuschung beinhaltet, im Widerspruch zu der positiven Kultur steht, die sie aufzubauen versuchen. Sie haben das Gefühl, dass sich Mitarbeiter bloßgestellt fühlen, wenn sie auf einen Link in einer von ihrem eigenen Unternehmen erstellten Trainings-E-Mail klicken.

 

Aber ist es wirklich so peinlich? Normalerweise sehen Mitarbeiter, die in einen simulierten Angriff geraten sind, so etwas wie einen Bildschirm mit der Aufschrift „OOPS, YOU FELL FOR A PHISHING ATTACK“. Oftmals stellen sie in diesem Moment fest, dass das Training sie vor den tatsächlichen Schmerzen eines realen Angriffs mit potenziell verheerenden Folgen für ihre persönliche Identität und ihre Unternehmen bewahrt hat. Tatsächlich geben jedoch viele Mitarbeiter positives Feedback, wenn ihnen Beispiele für Vorgehensweisen von Cyberkriminellen gezeigt werden, wie gefälschte Domains, gefälschte PayPal-Nachrichten und mit Malware infizierte Dokumente. Es ist nicht ungewöhnlich, dass sie nach dem Training fragen, wie sie dieses wertvolle Wissen mit ihrer Familie teilen können. Sicherheit ist nicht nur ein geschäftliches Anliegen; die meisten Benutzer kümmern sich auch um den Schutz ihrer persönlichen Identität und ihrer Vermögenswerte.

 

Personaler mögen zögern, diese Art von Training einzusetzen, aber wenn sie ihre Mitarbeiter nicht vorbereiten, machen sie das Unternehmen möglicherweise anfälliger denn je. Oft kehren Organisationen, die zunächst eine Ausbildung ihrer Mitarbeiter ablehnen, nach einem Angriff zu dem abgewiesenen Anbieter zurück, um die besprochenen Maßnahmen nun doch umzusetzen. Das ist bedauerlich, denn zu diesem Zeitpunkt haben die Cyberkriminellen das ultimative Training zu einem sehr hohen Preis angeboten – und jeder Mitarbeiter, der an der echten Datenschutzverletzung beteiligt ist, wird sich schuldig fühlen.

 

Fazit: Mehrere Schutzschichten

 

Während es für die Personalabteilung ratsam ist, eine Initiative für Security Awareness-Schulungen proaktiv voranzutreiben, gibt es auch diesen Aspekt: Unternehmen sind z. B. in den USA gesetzlich dazu verpflichtet, ihren Mitarbeitern einen angemessenen Schutz vor dieser Art von Cyberbedrohung zu bieten. In diesem Zusammenhang ist eine Sensibilisierungsschulung der neuen Schule eine Voraussetzung, um auch Rechtsstreitigkeiten zu verhindern.

 

Der Festplatten-Hersteller Seagate wurde beispielsweise von seinen eigenen Mitarbeitern nach einem erfolgreichen Online-Phishing-Betrug verklagt. Die personenbezogenen Daten von 10.000 bestehenden und ehemaligen Mitarbeitern wurden von Cyberkriminellen gestohlen und zum Einreichen betrügerischer Steuererklärungen verwendet. Wie ist die Datenschutzverletzung passiert? Ein Mitarbeiter im Personalwesen fiel auf eine Social-Engineering-Technik herein, die ihn davon überzeugte, alle Informationen an Cyberkriminelle zu senden. Die Mitarbeiter haben mit der Begründung geklagt, dass das Unternehmen ihre Daten nicht ausreichend geschützt hat.

 

Letztendlich kann die Sicherheitsstärke und -Kultur eines Unternehmens daran gemessen werden, wo sie am Ende hinfällt.