Security-Awareness-Trainings: Unterstützung für den Risikofaktor Mensch

Ein gro­ßer Risi­ko­fak­tor für die Cyber­si­cher­heit von KMU ist oft das eige­ne Per­so­nal. Der Grund: man­geln­des Wis­sen, um Bedro­hun­gen wie Phis­hing oder Social Engi­nee­ring zu erken­nen. Secu­ri­ty-Awa­re­ness-Schu­lun­gen kön­nen hier Abhil­fe schaf­fen, sagt Tors­ten Bech­ler von Sharp Busi­ness Sys­tems Deutschland.

Im Bereich IT hört man ab und zu vom „ZBuS-Pro­blem“, näm­lich dann, wenn sich das IT-Pro­blem zwi­schen Bild­schirm und Stuhl (ZBuS) befin­det. Gemeint ist: Der Nut­zer ist das Pro­blem. Trotz des augen­zwin­kern­den Akro­nyms steckt im Kern viel Wah­res: Mensch­li­ches Ver­sa­gen auf­grund man­geln­der Exper­ti­se oder Übung im Bereich IT-Sicher­heit ist ein weit ver­brei­te­tes Phä­no­men und stellt ins­be­son­de­re klei­ne und mitt­le­re Unter­neh­men (KMU) vor gro­ße Herausforderungen.

So ergab eine von Sharp durch­ge­führ­te Umfra­ge unter ins­ge­samt 5.770 IT-Ent­schei­dern in ganz Euro­pa, dass feh­len­de oder unzu­rei­chen­de Mit­ar­bei­ter­schu­lun­gen für fast vier von zehn (37 Pro­zent) der befrag­ten KMU das größ­te Risi­ko im Bereich IT-Sicher­heit dar­stel­len – noch vor groß­an­ge­leg­ten Cyber-Angrif­fen (33 Pro­zent) oder dem Feh­len umfas­sen­der tech­no­lo­gi­scher Schutz­maß­nah­men (30 Pro­zent). Und eine aktu­el­le Stu­die der „Stan­ford Uni­ver­si­ty and Tes­si­an“ ergab, dass Mit­ar­bei­ter­feh­ler die Ursa­che für alar­mie­ren­de 88 Pro­zent aller Daten­schutz­ver­let­zun­gen sind.

Jede Cyberschutz-Strategie ist nur so gut wie das Mitarbeiterwissen

Mit Blick auf die Tat­sa­che, dass die IT-Umge­bun­gen in Unter­neh­men – und damit auch die Bedro­hungs­la­ge durch Angrei­fer – kon­ti­nu­ier­lich kom­ple­xer wer­den, braucht es immer mehr Exper­ti­se und Wis­sen, um die Tricks der Angrei­fer zu durch­schau­en. Die IT-Abtei­lun­gen allein kön­nen dies längst nicht mehr leis­ten: Fach­kräf­te­man­gel, zuneh­men­de Arbeits­ver­dich­tung und -kom­ple­xi­tät füh­ren dazu, dass die IT-Ver­ant­wort­li­chen in KMU – sofern über­haupt expli­zit vor­han­den – zuneh­mend an ihre Kapa­zi­täts­gren­zen stoßen.

Im Geschäfts­all­tag ist es daher die Auf­ga­be jedes Ein­zel­nen, Cyber­si­cher­heits­ri­si­ken so weit wie mög­lich zu ver­mei­den. Die wenigs­ten Mit­ar­bei­ten­den sind jedoch IT-Exper­ten, die auto­ma­tisch über das nöti­ge Wis­sen zu den ver­schie­de­nen Angriffs­me­tho­den ver­fü­gen. Dem­entspre­chend sind es oft genau die­se Mit­ar­bei­ten­den, die unbe­dacht auf einen gefälsch­ten Link kli­cken oder den Anhang einer Phis­hing-E-Mail öff­nen – unter ande­rem, weil sie nicht aus­rei­chend über die­se The­men infor­miert wur­den. Die wenigs­ten sind daher ohne ent­spre­chen­de Schu­lung in der Lage, eine gefälsch­te E-Mail als sol­che zu erken­nen. Angrei­fer sind sich die­ser Tat­sa­che bewusst und nut­zen sie aktiv aus.

Für KMU bedeu­tet dies einer­seits, dass der Schutz vor Cyber­be­dro­hun­gen nicht nur dar­in bestehen kann, immer mehr und immer aus­ge­feil­te­re tech­ni­sche Schutz­maß­nah­men ein­zu­füh­ren, denn auch die­se – und damit die gesam­te digi­ta­le Resi­li­enz eines Unter­neh­mens – sind immer nur so gut wie das Wis­sen der Mit­ar­bei­ten­den. Auf der ande­ren Sei­te bedeu­tet dies aber auch, dass die Schu­lung der Mit­ar­bei­ten­den bei sorg­fäl­ti­ger Pla­nung und Durch­füh­rung wesent­lich dazu bei­tra­gen kann, Cyber-Sicher­heits­ri­si­ken so weit wie mög­lich ein­zu­däm­men. Und ange­sichts der oft schwer­wie­gen­den Fol­gen eines Angriffs oder Daten­ver­lusts für Unter­neh­men soll­ten Wei­ter­bil­dun­gen in die­sem Bereich höchs­te Prio­ri­tät haben.

Eine sicherheitsfokussierte Unternehmenskultur etablieren

Soge­nann­te Secu­ri­ty-Awa­re­ness-Trai­nings sind eine der ein­fachs­ten und effek­tivs­ten Metho­den, die eige­nen Mit­ar­bei­ten­den hin­sicht­lich Cyber­be­dro­hun­gen und sicher­heits­kon­for­men Ver­hal­tens auf dem aktu­el­len Stand zu hal­ten. Dabei han­delt es sich um digi­ta­le Wei­ter­bil­dungs­for­ma­te, die sich an sämt­li­che Beschäf­tig­te im Unter­neh­men rich­ten, die nicht expli­zit im IT-Bereich tätig sind. Ziel die­ser Trai­nings soll­te dar­in bestehen, den Nicht-ITler die not­wen­di­ge Exper­ti­se und Werk­zeu­ge zur Ver­fü­gung zu stel­len, um Risi­ken für IT-Sicher­heit und Daten­schutz zu erken­nen und ange­mes­sen dar­auf zu reagieren.

Die Trai­nings soll­ten auf fort­lau­fen­der Basis statt­fin­den und fest im Arbeits­all­tag ver­an­kert wer­den, denn Cyber­kri­mi­nel­le ent­wi­ckeln ihre Angriffs­mus­ter und -Tech­no­lo­gien kon­ti­nu­ier­lich wei­ter. Gleich­zei­tig soll die­se Regel­mä­ßig­keit die Mit­ar­bei­ten­den auch für die Tat­sa­che sen­si­bi­li­sie­ren, dass IT-Sicher­heit nicht nur Auf­ga­be der IT-Exper­ten ist. So lässt sich dau­er­haft ein bes­se­res Bewusst­sein für die Wich­tig­keit von Cyber­si­cher­heit im Unter­neh­men schaffen.

Die bes­ten Trai­nings­er­fol­ge erzielt übli­cher­wei­se ein soli­der Mix aus theo­re­ti­schen Trai­nings­ein­hei­ten und pra­xis­be­zo­ge­nen Simu­la­ti­ons­übun­gen mit einem Fokus auf Phis­hing und Social Engi­nee­ring, da dies die Angriffs­me­tho­den sind, mit denen Beschäf­tig­te im All­tag am wahr­schein­lichs­ten kon­fron­tiert wer­den. Zudem soll­ten die Trai­nings­ein­hei­ten sich mög­lichst ein­fach in den Arbeits­all­tag der Mit­ar­bei­ten­den inte­grie­ren las­sen, um eine zuver­läs­si­ge Teil­nah­me und Enga­ge­ment zu gewähr­leis­ten. In der Regel lohnt es sich für KMU, für das Durch­füh­ren der Trai­nings einen exter­nen Dienst­leis­ter an Bord zu holen, damit die­se Auf­ga­be nicht zusätz­lich noch bei den oft­mals ohne­hin bereits aus­ge­las­te­ten IT-Exper­ten im Unter­neh­men liegt.

Abbil­dung: Sharp Tors­ten Bechler, Mana­ger Pro­duct Marketing, Sharp Busi­ness Sys­tems Deutschland. sharp.de