EMag_finaleVersion_14.12.
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
BASLERWirtschaft<br />
MITARBEITER ZUR ERSTEN<br />
VERTEIDIGUNG GEGEN<br />
CYBERATTACKEN MACHEN<br />
VON NIKOLAS SCHRAN, INTERNATIONAL BUSINESS DEVELOPMENT<br />
MANAGER G DATA CYBERDEFENSE<br />
verändern. Aus «Passwort01» wird dann «Passwort02». Ein weiteres<br />
Beispiel: Der berüchtigte herrenlose USB-Stick, auf dem Malware lauert.<br />
Aufmerksame Angestellte stecken ihn nicht ungeprüft in ihren<br />
Rechner und schauen nach, welche Informationen der Stick enthält,<br />
sondern geben diesen zur Untersuchung in der IT-Abteilung ab. In<br />
der Praxis siegt meist die Neugier.<br />
Aufmerksamkeit schaffen<br />
Klar ist: Es braucht mehr als eine Sicherheitslösung, Firewall oder<br />
Passwort-Regelung, um Netzwerke und kritische Daten zu schützen.<br />
Vielmehr ist ein ganzheitlicher Ansatz notwendig. Unternehmen sollten<br />
ihre Mitarbeiter in die IT-Sicherheit einbeziehen. Dafür ist es erforderlich,<br />
die Mitarbeiter nicht nur über die aktuellen Gefahrenlage<br />
CYBER SECURITY<br />
müssen keine Rücksicht auf diese Rahmenbedingungen nehmen.<br />
Gerade Unternehmen mit verteilten Standorten profitieren hiervon.<br />
Lebenslanges Lernen<br />
Weil das Thema IT-Sicherheit immer mehr das Arbeitsleben durchzieht,<br />
ist ein umfassendes Schulungsangebot zielführend. Allerdings<br />
fehlt es insbesondere kleinen und mittelständischen Unternehmen<br />
sowohl an qualifiziertem Personal, als auch an dem notwendigen<br />
Know-how, um ein ganzheitliches Schulungskonzept zu realisieren.<br />
Hier bietet sich die Zusammenarbeit mit Dienstleistern an. Denn<br />
diese haben langjährige Erfahrung im Kampf gegen Cyberkriminelle<br />
und mittlerweile auf dieser Grundlage ein umfassendes Trainingsangebot<br />
für Angestellte in ihr Portfolio aufgenommen.<br />
Es bedarf eines umfassenden und langfristig ausgelegten<br />
Lehrplans, mit denen sich nach neuesten Lernmethoden<br />
Wissen bedarfsgerecht vermitteln lässt.<br />
Eine Untergliederung in unterschiedliche Themenblöcke<br />
ist genauso unumgänglich wie ein Einstiegstest.<br />
Denn der Wissensstand bei der IT-Sicherheit geht<br />
bei den Angestellten weit auseinander. Auf Basis dieses<br />
Einstiegstest lassen sich die Inhalte für jeden Angestellten<br />
individuell steuern und priorisieren.<br />
Kleine und mittelständische Unternehmen sind für Cyberkriminelle<br />
ein attraktives Ziel. Sie nutzen nicht nur<br />
innovative Technologien, sondern auch raffinierte Tricks,<br />
um in Netzwerke einzudringen. Firmen benötigen daher<br />
eine ganzheitliche IT-Sicherheitsstrategie, um verteidigungsfähig<br />
zu bleiben. Ein wesentlicher Bestandteil dabei:<br />
Aufmerksame Mitarbeiter. Sie verhindern mit dem<br />
richtigen Verhalten Cyberattacken. Dieses lernen sie in<br />
zeitgemäßen Schulungen.<br />
IT-Sicherheit in Unternehmen sollte heute so selbstverständlich sein<br />
wie Brandschutz oder Erste Hilfe. Denn Cyberangriffe gehören für<br />
viele Unternehmen zum täglichen Geschäft. Laut einer Online-Umfrage<br />
von Google waren 22 Prozent der Schweizer schon einmal<br />
Opfer eines Viren- oder Malware-Angriffes ist. Damit liegen sie deutlich<br />
über dem EU-Durchschnitt (16 Prozent). Dabei sind zwei aktuelle<br />
Trends zu beobachten. Erstens: Cyberkriminelle arbeiten immer<br />
schneller. Alleine im ersten Halbjahr 2019 haben die IT-Sicherheitsexperten<br />
von G DATA mehr als 33.000 verschiedene Versionen des Ransomware-Schädlings<br />
Emotets entdeckt. Das waren insgesamt mehr<br />
Versionen als im gesamten Jahr 2018. Die Täter setzen sogenannte<br />
Packer ein, um den Schadcode vor Virenscannern zu verbergen. Ein<br />
zweiter Trend: Cyberkriminelle suchen sich ihre Opfer viel gezielter<br />
aus. Sie planen ihre Angriffe von langer Hand und sammeln im Informationstealer<br />
wichtige Informationen, indem sie etwa über Information-Stealer<br />
erste Daten aus dem Netzwerk abgreifen. Anschließend<br />
passen sie Phishingmails so an, dass diese kaum von legitimen Mails<br />
zu unterscheiden sind. Die Schadenssummen stimmen die Hacker<br />
dabei auf die wirtschaftliche Leistungsfähigkeit des Opfers ab. Lösegeldforderungen<br />
von mehreren hunderttausend Euro bis hin zu siebenstelligen<br />
Summen sind nicht unüblich.<br />
Der Mensch im Fadenkreuz<br />
Aktuelle Zahlen zeigen, dass Firmenangestellte bei der IT-Sicherheit<br />
eine entscheidende Rolle spielen. Laut einer Studie des Think-Tanks<br />
ESI ThoughtLab sehen 87 Prozent der befragten Unternehmen ungeschulte<br />
Mitarbeiter als die größte Schwachstelle für Cyberattacken.<br />
Schon ein falscher Klick auf eine Bewerbung oder eine Rechnung<br />
mit Schadcode im Mailanhang reicht aus, um IT-Systeme zu infizieren<br />
– mit möglicherweise existenz-bedrohenden Folgen. Das zeigt:<br />
Technologische Schutzmaßnahmen reichen alleine nicht mehr aus,<br />
um Cyberangriffe abzuwehren. Aufmerksame Mitarbeiter leisten einen<br />
wesentlichen Beitrag, um Angriffe zu verhindern. Die Schulung<br />
der Angestellten hinsichtlich Cybergefahren und dem sicheren Umgang<br />
mit den IT-Systemen sollte daher eine zentrale Rolle in jeder IT-<br />
Sicherheitsstrategie einnehmen.<br />
Schwachstelle Mensch<br />
Leider ist die Sichtweise «IT-Sicherheit generiert keinen Profit» nach<br />
wie vor sehr weit verbreitet. Vielen Verantwortlichen fehlt offensichtlich<br />
die Einsicht, dass funktionierende IT-Sicherheitsmaßnahmen Verluste<br />
verhindern. Diese sind nicht nur schmerzhaft, sondern können<br />
bis zum wirtschaftlichen Totalschaden reichen. Anders ist es nicht zu<br />
erklären, dass immer noch das Prinzip «Lernen durch Schmerz» gilt:<br />
Opfer von Cyberattacken zeigen eine signifikant höhere Bereitschaft,<br />
in IT-Sicherheitsmaßnahmen zu investieren. Der Return-on-Invest wird<br />
dann zu Nebensache, wenn die Existenz der Firma bedroht ist.<br />
Auch auf der Mitarbeiterseite besteht Nachholbedarf. Denn diese<br />
nehmen das Thema offensichtlich nicht ernst. Sie ergreifen zahlreiche<br />
Gelegenheiten, um sich die Arbeit zu erleichtern. So führt der<br />
durch eine Policy vorgeschriebene monatliche Wechsel des Passwortes<br />
dazu, dass sie bei ihrem Standardpasswort lediglich die Ziffer<br />
zu informieren, sondern sie gleichzeitig in die Lage zu versetzen, Angriffsmuster<br />
frühzeitig zu erkennen und entsprechend zu reagieren.<br />
Ein Schulungskonzept greift aber zu kurz, Angestellte nur über die<br />
drei größten Gefahren für Cyberattacken – Mails mit infizierten Datei-Anhängen,<br />
USB-Sticks mit Schadsoftware oder bösartige Downloads<br />
– aufzuklären. Das Themenspektrum ist viel umfangreicher.<br />
Mit der digitalen Transformation haben sich unsere Arbeitsweisen<br />
grundlegend verändert. Dieser Wandel macht auch vor der IT-Sicherheit<br />
nicht Halt. Wer unterwegs etwa in der Bahn oder im Home-Office<br />
arbeitet, muss seine Passwörter und die Informationen sowie<br />
Dokumente vor unerwünschten Blicken und Zugriffen schützen.<br />
Des Weiteren setzen Mitarbeiter nicht nur zusätzliche Arbeitsgeräte<br />
wie Smartphones oder Tablets ein, sondern arbeiten häufig außerhalb<br />
des firmeninternen Netzwerkes. Ihre Daten speichern sie dann<br />
entweder lokal oder nutzen Cloud-Ressourcen. Auch die rechtlichen<br />
Rahmenbedingungen zum Datenschutz und zur Datensicherheit<br />
müssen Angestellte nicht nur kennen, sondern auch anwenden.<br />
Gleicher Wissensstand für alle Mitarbeiter<br />
Vor-Ort-Schulungen sind ab einer bestimmten Unternehmensgröße<br />
kaum noch zu realisieren. Mitarbeiter sind krank, im Urlaub oder<br />
dienstlich unterwegs. Die Terminfindung gerät so zum unmöglichen<br />
Unterfangen. Außerdem sind sie in der Regel einen oder mehrere<br />
Tage gebunden. Hinzu kommt: Wer die Awareness nachhaltig bei seinen<br />
Mitarbeitern steigern will, muss langfristig planen. Gleichzeitig<br />
müssen Unternehmen Lerninhalte zu aktuellen Bedrohungen kurzfristig<br />
für alle Angestellten bereitstellen. Denn Informationen zu neuen<br />
Angriffsmethoden wie beispielsweise als Bewerbungsunterlagen<br />
getarnte Trojaner, müssen schnellstmöglich die relevanten Mitarbeiter<br />
erreichen, damit sie entsprechend reagieren können. E-Learnings<br />
Zeitgemäße Materialien wie Videos, Texte oder interaktive<br />
Multiple-Choice-Tests sorgen für gute Lernfortschritte.<br />
Mit regelmäßigen, kurzen Trainingseinheiten<br />
können die Mitarbeiter die Inhalte kontinuierlich<br />
trainieren. Neu erlangtes Wissen bleibt durch regelmäßige<br />
Wiederholungen langfristig im Gedächtnis. Alle Lerninhalte<br />
sollten Situationen abbilden, die Mitarbeiter aus ihrem eigenen<br />
Arbeitsalltag kennen. Wenn sie verständlich formuliert sind, können<br />
auch Angestellte ohne technische Vorkenntnisse diese schnell und<br />
einfach nachvollziehen. Wichtig ist, dass der Lernzuwachs für den<br />
Mitarbeiter und für Personal- und IT-Verantwortliche messbar ist.<br />
Positive Verstärkung<br />
Nach jeder Frage erhalten Mitarbeiter eine kurze Auswertung zum<br />
Lernblock. Aber anstelle eines erhobenen Zeigefingers à la «Das war<br />
falsch!» folgt eine genaue Erklärung, was sie hätten besser machen<br />
können. Dieses positive Feedback sorgt für einen optimalen Lernerfolg.<br />
Gleichzeitig ist sichergestellt, dass die Mitarbeiter auch die<br />
nächste Lerneinheit absolvieren und das gesamte Training bis zum<br />
Ende mitmachen. Eine zusätzliche Motivation bieten Zertifizierungen.<br />
Mitarbeiter können sich nach bestandenen Themenblöcken<br />
eine Urkunde über die erfolgreiche Teilnahme ausstellen lassen. Hier<br />
lassen sich etwa Gamification-Ansätze integrieren, sodass beispielsweise<br />
Fachabteilungen gegeneinander antreten.<br />
Unternehmen handeln weitsichtig, wenn sie ihre Mitarbeiter in das<br />
IT-Sicherheitskonzept einbeziehen und IT-Sicherheitsbewusstsein<br />
schaffen. Gleichzeitig können Unternehmen die Awareness-Trainings<br />
nutzen, um sich vom Wettbewerb abzuheben. Denn sie signalisieren<br />
ihren Kunden, dass nicht nur auf technologische Schutzmaßnahmen<br />
vertrauen, sondern sich ganzheitlich mit dem Thema beschäftigen.<br />
Eine Investition in das IT-Sicherheitswissen der Mitarbeiter ist gleichzeitig<br />
auch eine Investition in die Zukunft des Unternehmens. Die<br />
beliebte Phrase im Falle eines Sicherheitsvorfalls «Die Sicherheit und<br />
Privatsphäre unserer Nutzer hat für uns oberste Priorität» wird so mit<br />
einem wirksamen Engagement unterfüttert.<br />
36 37