Suchen

Cyberattacken im Keim ersticken Mit Security Awareness Trainings die IT-Sicherheit steigern

| Autor / Redakteur: Nikolas Schran / Peter Schmitz

Unternehmen stehen klar im Visier von Cyberkriminellen. Für ihre Angriffe nutzen die Täter innovative Technologien und gerissene Methoden, um Netzwerke zu infiltrieren. Um verteidigungsfähig zu bleiben, reichen Schutztechnologien alleine nicht aus. Aufmerksame IT-Security-affine Mitarbeiter sind nötig, um Cyberattacken zu verhindern. Das nötige Wissen lernen sie in zeitgemäßen Trainings.

Firmen zum Thema

Unternehmen können das Risiko von Cyberattacken durch den Einsatz von Security Awareness Trainings reduzieren.
Unternehmen können das Risiko von Cyberattacken durch den Einsatz von Security Awareness Trainings reduzieren.
(Bild: gemeinfrei / Pixabay )

Die Digitalisierung der Wirtschaft schreitet stetig voran. Industrie 4.0 und Internet of Things versprechen eine Zukunft, in der alles miteinander vernetzt ist. Die Kehrseite der Medaille: Das Risiko für Cyberangriffe steigt beinahe exponentiell. Kriminelle suchen mit professionellen Methoden nach Lücken im Netzwerk oder ungeschützten Systemen, um die IT von Firmen zu kompromittieren. Oft greifen sie über das schwächste Glied in der Kette an: die Mitarbeiter.

Zwei Entwicklungen prägen aktuell das Geschehen. Erstens: Cyberkriminelle arbeiten immer schneller und nutzen automatisierte Programme, um den Schadcode vor Virenscannern zu verstecken. Diese verpackte Malware erproben Cyberkriminelle so lange an Antivirenlösungen, bis diese das verhüllte Schadprogramm nicht mehr erkennen.

Zweitens: Cyberkriminelle suchen sich ihre Opfer gezielt aus. Sie planen ihre Angriffe von langer Hand und sammeln im Vorfeld wichtige Informationen. Die Schadenssummen sind dabei so vielfältig, wie die Unternehmen selbst. Lösegeldforderungen von mehreren hunderttausend Euro bis hin zu siebenstelligen Summen sind nicht unüblich.

Immer mehr macht sich die Erkenntnis breit, dass technologische IT-Sicherheitsmaßnahmen alleine nicht ausreichen. Der aktuelle Mittelstandsreport von G DATA CyberDefense belegt, dass acht von zehn Unternehmen im deutschen Mittelstand glauben, dass ihre Mitarbeiter eine Cyberattacke auslösen können. Dabei zeigt sich immer wieder, dass schon ein falscher Klick auf den Anhang einer vermeintlichen Bewerbung oder einer Rechnung ausreicht, um eine Schadcode-Infektion der IT-Systeme auszulösen.

Der Mitarbeiter: Risiko- oder Sicherheitsfaktor?

IT-Sicherheit ist Management-Aufgabe. Es liegt in der Hand der Führungskräfte, die Strategie der IT-Sicherheit festzulegen und die Bedeutung dieses Themas auch bei allen Mitarbeitern zu verankern. Dafür müssen sie auch entsprechendes Budget bereitstellen. Aber bei den IT-Budgets zögern viele Verantwortliche. Ihr Argument: „IT-Sicherheit generiert keinen Profit“. Dabei sollten sich Führungskräfte vielmehr die Frage stellen, wie lange ihr Unternehmen im Schadensfall wirtschaftlich lebensfähig ist. Richtig ist: Funktionierende IT-Sicherheitsmaßnahmen verhindern Verluste. Aber: Alleine mit der Installation einer Antiviren-Software oder der Definition einer Passwort-Regelung lassen sich wertvolle Netzwerke und kritische Daten nicht schützen. Es braucht vielmehr einen ganzheitlichen Ansatz, der Mitarbeiter zum Teil der IT-Sicherheit macht. Die Sache hat aber einen kleinen Haken: Mitarbeiter nutzen etwa aus Bequemlichkeit einfach zu merkende Passwörter und unterschätzen, welche Folgen dieses Verhalten haben kann. Daher müssen Unternehmen dafür sorgen, dass sich die Mitarbeiter nicht nur der aktuellen Gefahrenlage bewusst sind, sondern auch in die Lage versetzt werden, Angriffsmuster frühzeitig zu erkennen und entsprechend zu handeln. Es reicht aber nicht, Angestellte über die drei größten Gefahren für Cyberattacken – Mails mit infizierten Datei-Anhängen, USB-Sticks mit Schadsoftware oder bösartige Downloads – aufzuklären. Das Themenspektrum ist viel umfangreicher. Zwar haben viele Unternehmen die Zeichen der Zeit erkannt und wollen das Sicherheitsbewusstsein steigern, allerdings fehlt es gerade kleinen und mittelständischen Unternehmen an Personal, Zeit und Know-how. Daher entschließen sich viele Firmen, eine bestehende EMS-Plattform zu nutzen. Die haben nicht nur den notwenigen Content, sondern lassen sich als Cloud-Lösung unkompliziert in das Unternehmensnetzwerk integrieren. Ein weiterer Vorteil: Das System ist ortsunabhängig einsetzbar.

Gleiches Wissen für alle

Es sprechen einige Gründe dafür, die unternehmenskritischen Inhalte von IT-Sicherheitsschulungen in Vor-Ort-Schulungen mit Anwesenheitspflicht zu präsentieren. Aber ab einer bestimmten Unternehmensgröße lassen sich verpflichtende Präsenzschulungen kaum noch realisieren. E-Learnings müssen keine Rücksicht auf diese Rahmenbedingungen nehmen. Gerade Unternehmen mit verteilten Standorten profitieren hiervon. Aber noch weitere Gründe sprechen für E-Learnings: Die Einheiten lassen sich auf diese Weise gut in den Arbeitsalltag integrieren – immer dann, wenn Zeit dafür ist. Dies spart Zeit sowie vor allem auch Geld und vermeidet, dass die Mitarbeiter einen oder mehrere Tage schulungsbedingt nicht produktiv arbeiten können. Gleichzeitig sollten Lerninhalte zu aktuellen Sicherheitsvorfällen kurzfristig für alle Angestellten zur Verfügung stehen.

Lebenslanges Lernen

Um das Thema vollständig abzudecken, ist ein umfassender und langfristig ausgelegter Lehrplan zielführend. Das Wissen sollte zudem nach den neuesten Lernmethoden und bedarfsgerecht vermittelt werden. Im besten Fall kommen sowohl Videos, als auch Texte und interaktive Multiple-Choice-Tests zum Einsatz. Weil der Wissensstand innerhalb der Belegschaft bei der IT-Sicherheit sehr heterogen ist, bedarf es eines Einstiegstests für jeden Teilnehmer. Dieser dient als Grundlage, um die die Inhalte für jeden Angestellten individuell anzupassen. So lassen sich größere Wissenslücken zuerst schließen.

Regelmäßige, kurze Trainingsabschnitte lassen sich gut in den Arbeitsalltag integrieren, sodass Mitarbeiter kontinuierlich lernen. Lerninhalte bleiben besser im Gedächtnis, wenn die gezeigten Situationen einen deutlichen Bezug zum eigenen Arbeitsalltag haben. Gleichzeitig sollten die Einheiten verständlich formuliert sein und auch auf die Bedürfnisse von Angestellten ohne technische Vorkenntnisse zugeschnitten sein.

Ein weiteres wichtiges Element von Security Awareness Trainings: das Feedback. Ein erhobener Zeigefinger ist dabei nicht zielführend und trägt nicht zu einer Änderung des Verhaltens bei. Besser sind im Falle eines Fehlers detaillierte Erklärungen, was richtig gewesen wäre. Eine derartige Rückmeldung sorgt für einen guten Lernerfolg. Der Lernzuwachs ist somit auch für den Mitarbeiter, sowie für Personal- und IT-Verantwortliche messbar.

Wenn sich Unternehmen dem Thema IT-Sicherheit verweigern, riskieren sie damit möglicherweise ihre Existenz. Dabei können sie das Risiko von Cyberattacken auch durch den Einsatz von Security Awareness Trainings reduzieren. Gleichzeitig signalisieren Firmen ihren eigenen Kunden, dass sie sich ganzheitlich mit dem Thema beschäftigen. Eine Investition in das IT-Sicherheitswissen der Mitarbeiter zahlt sich langfristig immer aus.

Über den Autor: Nikolas Schran ist International Business Development Manager bei G DATA CyberDefense.

(ID:46696343)