Awarenness für Cyberrisiken schaffen

Wird bei den Mitarbeitern eine Awareness für Cyberrisiken geschaffen, erhöht sich die Sicherheit für das Unternehmen. Denn eine aktuelle Studie der Initiative Deutschland sicher im Netz (DsiN) hat ergeben, dass mit 46 % fast jedes zweite Unternehmen 2020 Opfer einer Cyberattacke geworden ist. In 74 % der Fälle kam es zu schädlichen Auswirkungen. Eines der Hauptrisiken für Unternehmen, Opfer von erfolgreichen Cyberattacken zu werden, liegt verschiedenen Umfragen zufolge vor allem in ungeschulten Mitarbeitern, die für Angreifer nicht erst seit Corona der erste Adressat für Angriffe darstellen. Während große Unternehmen und insbesondere solche, die international agieren, über vergleichsweise gute technische und organisatorische Verfahren zur Cyberabwehr verfügen, sind vor allem der Mittelstand, aber auch kleine Kommunen oftmals nur ungenügend gerüstet, den vielfältigen Bedrohungen aus dem Netz zu widerstehen. Dabei zeigt sich, dass Phishing-E-Mails mit einer der häufigsten Methoden sind, mit der sich Kriminelle Zugang zu Systemen verschaffen, weil Mitarbeiter Anhänge oder Links öffnen, die Malware wie Trojaner und ähnliches enthält.

Ein nachhaltiges Mitarbeitertraining in Sachen Awareness gegenüber Cyber Security ist in vielen Unternehmen immer noch nicht an der Tagesordnung. Häufig werden Aufwand und Kosten gescheut und die Frage nach einem belegbaren Nutzen gestellt. Einmalschulungen mit Inhalten, durch die sich Mitarbeiter einfach „durchklicken“, sind in der Regel schnell wieder vergessen. Auch das Mindset der Mitarbeiterspielt eine wichtige Rolle, denn häufig denken viele „was habe ich damit zu tun?“ Daher muss man neben dem Training der Fähigkeiten auch auf die Motivation und das Hintergrundwissen achten – das wird viel zu häufig übersehen. Wichtig bei einer effektiven und nachhaltigen Security Awareness Schulung ist daher eine praxisbezogene Anwendung von Lerninhalten. Dies lässt sich etwa zielgerichtet über simulierte Phishing-Inhalte erreichen, anhand derer Mitarbeiter lernen sollen, potenziell gefährliche E-Mails zu erkennen. Mittels Auswertung aus öffentlich zugänglichen Daten wie Profilen von Mitarbeitern auf sozialen Netzwerken oder Unternehmensprofilen auf Arbeitgeberbewertungsseiten, lassen sich wie bei echten Angriffen Phishing-Mails zu Trainingszwecken erstellen. Schwierigkeitsgrade können angepasst werden, um Fortschritte bei den Mitarbeitern zu dokumentieren und dort anzusetzen, wo Nachholbedarf oder zusätzlicher Schulungsbedarf besteht.

Oftmals möchten Unternehmen gerne den Lernfortschritt bei ihren Mitarbeitern nachvollziehen um zu sehen, ob sich das Security Awareness tatsächlich verbessert. Eine Lösung hierfür können Systeme sein, die über Kennzahlen in der Lage sind, den Fortschritt der Mitarbeiter bei der Abarbeitung von Trainingsinhalten festzuhalten. So nutzt IT-Seal einen eigens entwickelten Employee Security Index, kurz ESI, mit dem sich das IT-Sicherheitsbewusstseins in einem Unternehmen regelmäßig überwachen lässt, was zu mehr Transparenz auch gegenüber Entscheidungsträgern führt. Der Erfolg von Trainingsmaßnahmen hängt letztlich auch von der Dauer ab. Sind Mitarbeiter erst einmal für Risiken sensibilisiert, lohnt es sich, etwa das Training mit gestellten Phishing-E-Mails auszusetzen und erst nach einigen Monaten wieder damit zu beginnen. So lässt sich schnell überprüfen, ob das erworbene Sicherheitsbewusstsein nachhaltig bei den Mitarbeitern verankert ist oder ob nachgeschult werden muss. Auf jeden Fall sind Investitionen in das Training der Mitarbeiter angesichts der möglichen Schäden für ein Unternehmen definitiv eine sinnvolle Maßnahme zur Erhaltung der Betriebsfähigkeit.