EMag_finaleVersion_14.12.

BASLERWirtschaft
MITARBEITER ZUR ERSTEN
VERTEIDIGUNG GEGEN
CYBERATTACKEN MACHEN
VON NIKOLAS SCHRAN, INTERNATIONAL BUSINESS DEVELOPMENT
MANAGER G DATA CYBERDEFENSE
verändern. Aus «Passwort01» wird dann «Passwort02». Ein weiteres
Beispiel: Der berüchtigte herrenlose USB-Stick, auf dem Malware lauert.
Aufmerksame Angestellte stecken ihn nicht ungeprüft in ihren
Rechner und schauen nach, welche Informationen der Stick enthält,
sondern geben diesen zur Untersuchung in der IT-Abteilung ab. In
der Praxis siegt meist die Neugier.
Aufmerksamkeit schaffen
Klar ist: Es braucht mehr als eine Sicherheitslösung, Firewall oder
Passwort-Regelung, um Netzwerke und kritische Daten zu schützen.
Vielmehr ist ein ganzheitlicher Ansatz notwendig. Unternehmen sollten
ihre Mitarbeiter in die IT-Sicherheit einbeziehen. Dafür ist es erforderlich,
die Mitarbeiter nicht nur über die aktuellen Gefahrenlage
CYBER SECURITY
müssen keine Rücksicht auf diese Rahmenbedingungen nehmen.
Gerade Unternehmen mit verteilten Standorten profitieren hiervon.
Lebenslanges Lernen
Weil das Thema IT-Sicherheit immer mehr das Arbeitsleben durchzieht,
ist ein umfassendes Schulungsangebot zielführend. Allerdings
fehlt es insbesondere kleinen und mittelständischen Unternehmen
sowohl an qualifiziertem Personal, als auch an dem notwendigen
Know-how, um ein ganzheitliches Schulungskonzept zu realisieren.
Hier bietet sich die Zusammenarbeit mit Dienstleistern an. Denn
diese haben langjährige Erfahrung im Kampf gegen Cyberkriminelle
und mittlerweile auf dieser Grundlage ein umfassendes Trainingsangebot
für Angestellte in ihr Portfolio aufgenommen.
Es bedarf eines umfassenden und langfristig ausgelegten
Lehrplans, mit denen sich nach neuesten Lernmethoden
Wissen bedarfsgerecht vermitteln lässt.
Eine Untergliederung in unterschiedliche Themenblöcke
ist genauso unumgänglich wie ein Einstiegstest.
Denn der Wissensstand bei der IT-Sicherheit geht
bei den Angestellten weit auseinander. Auf Basis dieses
Einstiegstest lassen sich die Inhalte für jeden Angestellten
individuell steuern und priorisieren.
Kleine und mittelständische Unternehmen sind für Cyberkriminelle
ein attraktives Ziel. Sie nutzen nicht nur
innovative Technologien, sondern auch raffinierte Tricks,
um in Netzwerke einzudringen. Firmen benötigen daher
eine ganzheitliche IT-Sicherheitsstrategie, um verteidigungsfähig
zu bleiben. Ein wesentlicher Bestandteil dabei:
Aufmerksame Mitarbeiter. Sie verhindern mit dem
richtigen Verhalten Cyberattacken. Dieses lernen sie in
zeitgemäßen Schulungen.
IT-Sicherheit in Unternehmen sollte heute so selbstverständlich sein
wie Brandschutz oder Erste Hilfe. Denn Cyberangriffe gehören für
viele Unternehmen zum täglichen Geschäft. Laut einer Online-Umfrage
von Google waren 22 Prozent der Schweizer schon einmal
Opfer eines Viren- oder Malware-Angriffes ist. Damit liegen sie deutlich
über dem EU-Durchschnitt (16 Prozent). Dabei sind zwei aktuelle
Trends zu beobachten. Erstens: Cyberkriminelle arbeiten immer
schneller. Alleine im ersten Halbjahr 2019 haben die IT-Sicherheitsexperten
von G DATA mehr als 33.000 verschiedene Versionen des Ransomware-Schädlings
Emotets entdeckt. Das waren insgesamt mehr
Versionen als im gesamten Jahr 2018. Die Täter setzen sogenannte
Packer ein, um den Schadcode vor Virenscannern zu verbergen. Ein
zweiter Trend: Cyberkriminelle suchen sich ihre Opfer viel gezielter
aus. Sie planen ihre Angriffe von langer Hand und sammeln im Informationstealer
wichtige Informationen, indem sie etwa über Information-Stealer
erste Daten aus dem Netzwerk abgreifen. Anschließend
passen sie Phishingmails so an, dass diese kaum von legitimen Mails
zu unterscheiden sind. Die Schadenssummen stimmen die Hacker
dabei auf die wirtschaftliche Leistungsfähigkeit des Opfers ab. Lösegeldforderungen
von mehreren hunderttausend Euro bis hin zu siebenstelligen
Summen sind nicht unüblich.
Der Mensch im Fadenkreuz
Aktuelle Zahlen zeigen, dass Firmenangestellte bei der IT-Sicherheit
eine entscheidende Rolle spielen. Laut einer Studie des Think-Tanks
ESI ThoughtLab sehen 87 Prozent der befragten Unternehmen ungeschulte
Mitarbeiter als die größte Schwachstelle für Cyberattacken.
Schon ein falscher Klick auf eine Bewerbung oder eine Rechnung
mit Schadcode im Mailanhang reicht aus, um IT-Systeme zu infizieren
– mit möglicherweise existenz-bedrohenden Folgen. Das zeigt:
Technologische Schutzmaßnahmen reichen alleine nicht mehr aus,
um Cyberangriffe abzuwehren. Aufmerksame Mitarbeiter leisten einen
wesentlichen Beitrag, um Angriffe zu verhindern. Die Schulung
der Angestellten hinsichtlich Cybergefahren und dem sicheren Umgang
mit den IT-Systemen sollte daher eine zentrale Rolle in jeder IT-
Sicherheitsstrategie einnehmen.
Schwachstelle Mensch
Leider ist die Sichtweise «IT-Sicherheit generiert keinen Profit» nach
wie vor sehr weit verbreitet. Vielen Verantwortlichen fehlt offensichtlich
die Einsicht, dass funktionierende IT-Sicherheitsmaßnahmen Verluste
verhindern. Diese sind nicht nur schmerzhaft, sondern können
bis zum wirtschaftlichen Totalschaden reichen. Anders ist es nicht zu
erklären, dass immer noch das Prinzip «Lernen durch Schmerz» gilt:
Opfer von Cyberattacken zeigen eine signifikant höhere Bereitschaft,
in IT-Sicherheitsmaßnahmen zu investieren. Der Return-on-Invest wird
dann zu Nebensache, wenn die Existenz der Firma bedroht ist.
Auch auf der Mitarbeiterseite besteht Nachholbedarf. Denn diese
nehmen das Thema offensichtlich nicht ernst. Sie ergreifen zahlreiche
Gelegenheiten, um sich die Arbeit zu erleichtern. So führt der
durch eine Policy vorgeschriebene monatliche Wechsel des Passwortes
dazu, dass sie bei ihrem Standardpasswort lediglich die Ziffer
zu informieren, sondern sie gleichzeitig in die Lage zu versetzen, Angriffsmuster
frühzeitig zu erkennen und entsprechend zu reagieren.
Ein Schulungskonzept greift aber zu kurz, Angestellte nur über die
drei größten Gefahren für Cyberattacken – Mails mit infizierten Datei-Anhängen,
USB-Sticks mit Schadsoftware oder bösartige Downloads
– aufzuklären. Das Themenspektrum ist viel umfangreicher.
Mit der digitalen Transformation haben sich unsere Arbeitsweisen
grundlegend verändert. Dieser Wandel macht auch vor der IT-Sicherheit
nicht Halt. Wer unterwegs etwa in der Bahn oder im Home-Office
arbeitet, muss seine Passwörter und die Informationen sowie
Dokumente vor unerwünschten Blicken und Zugriffen schützen.
Des Weiteren setzen Mitarbeiter nicht nur zusätzliche Arbeitsgeräte
wie Smartphones oder Tablets ein, sondern arbeiten häufig außerhalb
des firmeninternen Netzwerkes. Ihre Daten speichern sie dann
entweder lokal oder nutzen Cloud-Ressourcen. Auch die rechtlichen
Rahmenbedingungen zum Datenschutz und zur Datensicherheit
müssen Angestellte nicht nur kennen, sondern auch anwenden.
Gleicher Wissensstand für alle Mitarbeiter
Vor-Ort-Schulungen sind ab einer bestimmten Unternehmensgröße
kaum noch zu realisieren. Mitarbeiter sind krank, im Urlaub oder
dienstlich unterwegs. Die Terminfindung gerät so zum unmöglichen
Unterfangen. Außerdem sind sie in der Regel einen oder mehrere
Tage gebunden. Hinzu kommt: Wer die Awareness nachhaltig bei seinen
Mitarbeitern steigern will, muss langfristig planen. Gleichzeitig
müssen Unternehmen Lerninhalte zu aktuellen Bedrohungen kurzfristig
für alle Angestellten bereitstellen. Denn Informationen zu neuen
Angriffsmethoden wie beispielsweise als Bewerbungsunterlagen
getarnte Trojaner, müssen schnellstmöglich die relevanten Mitarbeiter
erreichen, damit sie entsprechend reagieren können. E-Learnings
Zeitgemäße Materialien wie Videos, Texte oder interaktive
Multiple-Choice-Tests sorgen für gute Lernfortschritte.
Mit regelmäßigen, kurzen Trainingseinheiten
können die Mitarbeiter die Inhalte kontinuierlich
trainieren. Neu erlangtes Wissen bleibt durch regelmäßige
Wiederholungen langfristig im Gedächtnis. Alle Lerninhalte
sollten Situationen abbilden, die Mitarbeiter aus ihrem eigenen
Arbeitsalltag kennen. Wenn sie verständlich formuliert sind, können
auch Angestellte ohne technische Vorkenntnisse diese schnell und
einfach nachvollziehen. Wichtig ist, dass der Lernzuwachs für den
Mitarbeiter und für Personal- und IT-Verantwortliche messbar ist.
Positive Verstärkung
Nach jeder Frage erhalten Mitarbeiter eine kurze Auswertung zum
Lernblock. Aber anstelle eines erhobenen Zeigefingers à la «Das war
falsch!» folgt eine genaue Erklärung, was sie hätten besser machen
können. Dieses positive Feedback sorgt für einen optimalen Lernerfolg.
Gleichzeitig ist sichergestellt, dass die Mitarbeiter auch die
nächste Lerneinheit absolvieren und das gesamte Training bis zum
Ende mitmachen. Eine zusätzliche Motivation bieten Zertifizierungen.
Mitarbeiter können sich nach bestandenen Themenblöcken
eine Urkunde über die erfolgreiche Teilnahme ausstellen lassen. Hier
lassen sich etwa Gamification-Ansätze integrieren, sodass beispielsweise
Fachabteilungen gegeneinander antreten.
Unternehmen handeln weitsichtig, wenn sie ihre Mitarbeiter in das
IT-Sicherheitskonzept einbeziehen und IT-Sicherheitsbewusstsein
schaffen. Gleichzeitig können Unternehmen die Awareness-Trainings
nutzen, um sich vom Wettbewerb abzuheben. Denn sie signalisieren
ihren Kunden, dass nicht nur auf technologische Schutzmaßnahmen
vertrauen, sondern sich ganzheitlich mit dem Thema beschäftigen.
Eine Investition in das IT-Sicherheitswissen der Mitarbeiter ist gleichzeitig
auch eine Investition in die Zukunft des Unternehmens. Die
beliebte Phrase im Falle eines Sicherheitsvorfalls «Die Sicherheit und
Privatsphäre unserer Nutzer hat für uns oberste Priorität» wird so mit
einem wirksamen Engagement unterfüttert.
36 37