gesponsertWenn Technik allein nicht reicht Cybersicherheit beginnt bei den Mitarbeitern

Die strengsten Cybersicherheitsmaßnahmen nützen nichts, wenn die Mitarbeiter sie nicht umsetzen können oder wollen. Mithilfe gezielter Security-Awareness-Trainings können Unternehmen dem entgegenwirken.

Künstliche Intelligenz (KI) ist es gleichgültig, wofür sie genutzt wird. Dies wird nirgends so klar wie im Bereich Cybersicherheit. Dort hat KI zwar zu rasanten Weiterentwicklungen der Sicherheitsmaßnahmen geführt, die Unternehmen zur Verfügung stehen, aber ist gleichzeitig auch ein wertvolles Werkzeug für die Gegenseite geworden. Denn Cyberkriminelle können KI ebenfalls nutzen, um ihre Angriffe schneller, effektiver, unbemerkter und in größerem Maßstab als je zuvor durchzuführen.

Dabei geht es Angreifern nicht notwendigerweise darum, mithilfe von KI komplexe, neue Angriffstechniken zu entwickeln – obwohl dies auch passiert. Vielmehr werden bestehende Angriffsmethoden mithilfe von KI deutlich effizienter und schwerer zu erkennen. Am offensichtlichsten wird dies im Bereich des Social Engineerings, einer Angriffsmethode, bei der die Angreifer ihre Opfer durch Täuschung, Überreden und sozialen Druck dazu bringen, Passwörter und andere Zugangsdaten einfach herauszugeben oder ihnen auf anderem Wege Zugriff zum System zu gewähren. Mithilfe von KI generieren Angreifer beispielsweise täuschend echt wirkende, personalisierte Phishing-E-Mails oder Deepfakes.

Der wesentliche Faktor – und damit die potenzielle Sicherheitslücke – ist in solchen Fällen also das Opfer selbst. Ist es in der Lage, den Social Engineering-Versuch frühzeitig als solchen zu erkennen, hat auch der raffinierteste, KI-gestützte Angriff keine Chance. Aber auch das Gegenteil trifft zu – fehlt dem Opfer diese Fähigkeit, nützen auch die strengsten Sicherheitsmaßnahmen nichts.

Eine von Sharp unter insgesamt 5.770 IT-Entscheidern in europäischen KMU durchgeführte Umfrage verdeutlicht dies noch einmal: Fast vier von zehn (37 Prozent) der Befragten sehen fehlende oder unzureichende Mitarbeiterschulungen als größtes IT-Sicherheitsrisiko für ihr Unternehmen an. Noch bedenklicher ist, dass Sharp im Rahmen derselben Studie festgestellt hat, dass von 1.000 befragten Arbeitnehmern aus deutschen KMU fast zwei Drittel (60 Prozent) angaben, im Arbeitsalltag heimlich und bewusst gegen die IT-Sicherheitsvorgaben ihres Unternehmens zu verstoßen. 31 Prozent der befragten deutschen Arbeitnehmer sind zudem der Meinung, dass IT-Sicherheit nicht ihre Verantwortung sei, sondern allein die der IT-Abteilung ihres Unternehmens – der höchste Wert in allen befragten europäischen Ländern.

Cybersicherheit erfordert Verantwortungsbewusstsein und Know-how

Hinzu kommt ein Aspekt, den viele IT-Verantwortliche in KMU zur Genüge kennen: Schon mit den regulären Aufgaben sind die Kapazitäten ihrer Teams oftmals voll ausgelastet und für Prävention bleibt keine Zeit mehr. Außerdem zeigen auch die Zahlen aus der Studie noch einmal eindeutig, dass es nichts bringt, kontinuierlich neue, oftmals komplexe technische Schutzmaßnahmen zu implementieren, wenn die Mitarbeiter diese aus Bequemlichkeit, Gleichgültigkeit oder Unwissenheit ignorieren.

Um tatsächlich effektiven, umfassenden und langfristigen Schutz vor Cyberbedrohungen zu erreichen, sollten Unternehmen also zunächst sicherstellen, dass ihre Mitarbeiter ein grundlegendes Bewusstsein für die Gefahren und Folgen von Cyberangriffen entwickeln und dass jeder einzelne Mitarbeiter im Unternehmen Cybersicherheit als seine Verantwortung begreift – und nicht als isolierte Aufgabe der IT-Abteilung. Dafür benötigen die Mitarbeiter jedoch das nötige Wissen, sowohl um die Bedrohungslage zu verstehen und richtig einschätzen zu können, als auch um entsprechend auf sie reagieren zu können. Selbstverständlich kann und muss nicht jeder zum IT-Experten werden, aber in vielen, im Unternehmensalltag sicherheitsrelevanten Fällen reichen bereits einige Grundkenntnisse in Sachen Cybersicherheit aus, um Bedrohungen und ihre Folgen effektiv zu vermeiden.

Mit Security Awareness Trainings zu mehr Sicherheitsbewusstsein und -expertise

Beide dieser Ziele lassen sich mithilfe einer einzigen Maßnahme erreichen: Sogenannte Security-Awareness-Trainings statten Mitarbeiter mit der notwendigen Cybersicherheitsexpertise aus und schaffen mehr Sicherheitsbewusstsein im Unternehmen – wenn sie richtig umgesetzt werden. Das Konzept einer Weiterbildung ist selbstverständlich nicht neu, aber moderne Security-Awareness-Trainings unterscheiden sich von klassischen Weiterbildungsformaten in mehreren Aspekten.

Idealerweise handelt es sich um kurze, leicht verständliche Trainingseinheiten von rund fünf bis zehn Minuten, die sich einfach in den Arbeitsalltag der Mitarbeiter integrieren lassen, keine halb- oder ganztägigen Schulungen. Dafür sollten die Trainings regelmäßig stattfinden, denn die kontinuierliche Wiederholung stellt sicher, dass das Gelernte auch im Alltag abrufbar bleibt. Gleichzeitig sensibilisiert sie die Mitarbeiter effektiver für aktuelle Bedrohungslagen im Sinne einer sicherheitsbewussten Unternehmenskultur.

Die Trainings sollten außerdem möglichst praxisbezogen ablaufen. Theoretisches Wissen ist in diesem Kontext zwar relevant, aber der Fokus sollte klar auf alltagsnahen Beispielen und Handlungsempfehlungen liegen. Idealerweise werden im Rahmen der Trainings realistische Cyberangriffe und ähnliche Bedrohungssituationen wie Phishing, Social Engineering oder Ransomware simuliert. Auf diese Weise können die Mitarbeiter das Verhalten im Ernstfall in einem sicheren Rahmen proben.

Im Idealfall holen Unternehmen für die Umsetzung der Trainings von Anfang an einen externen Partner an Bord, der sie organisiert, durchführt und die dafür notwendige Technik ebenfalls aus einer Hand bereitstellen kann. So lässt sich vermeiden, dass ihre vermutlich ohnehin ausgelasteten IT-Teams diese Aufgabe noch zusätzlich übernehmen müssen. Bei der Auswahl eines solchen Partners sollten Unternehmen unter anderem darauf achten, dass sich die Lernfortschritte einzelner Mitarbeiter nachvollziehen lassen, beispielsweise über ein zentrales Dashboard.

Weitere Informationen unter www.sharp.de

(ID:50825456)