„Schwachstelle Mensch“ als Ziel von Cyberkriminellen

Trotz aller möglicherweise getroffenen Vorkehrungen ist und bleibt der Mensch als „Schwachstelle“ das vermeintlich schwächste Glied der Sicherheitskette, die von Cyberkriminellen zunehmend angegriffen wird. Somit wird er auch zu einem der größten Risikofaktoren für die IT-Sicherheit eines Unternehmens. Noch angreifbarer wird diese „Schwachstelle Mensch“ im Homeoffice.

Das Institut der deutschen Wirtschaft titelte zuletzt, dass Homeoffice für Cyberkriminelle ein Geschenk sei. Der Grund hierfür liegt auf der Hand: Jeder Mitarbeiter, der von zu Hause aus arbeitet, nutzt Verbindungen, die häufig leichter angegriffen werden können als solche in Firmennetzwerken. Die dabei bereits entstandenen finanziellen Schäden sind enorm. Hackerangriffe im Homeoffice haben im Jahr 2020 zu Schäden in Höhe von 52 Milliarden Euro geführt. Die Angreifbarkeit der IT von Unternehmen ist während der Pandemie folglich immens gestiegen. Was können wir also tun, damit unser heimischer Arbeitsplatz nicht zum Fenster für Angreifer von außen wird?

Um ein gesteigertes Bewusstsein für IT-Sicherheit, die Security Awareness, bei Mitarbeitern zu erzielen, ist die Vermittlung von klaren Regelungen und Vorgaben für sicherheitsbewusstes Verhalten im Arbeitsalltag unverzichtbar. Denn Sicherheitsbewusstsein entsteht nicht durch Reaktion, sondern durch Aufklärung. Wesentlich dabei ist, dass IT-Sicherheit für jeden verständlich sein muss, denn Awareness für sicherheitskritische Themen kann nur dann geschaffen und gelebt werden, wenn sie auch wirklich jeder versteht.

In Zeiten der Pandemie ist es allerdings nicht immer einfach, Mitarbeiter zu begeistern und zu erreichen. Nicht selten jagt eine Online-Schulung die nächste. Dass das Interesse für Sicherheitsthemen dabei schwindet, ist nicht unbedingt erstaunlich. Wie gewinnen wir also die Aufmerksamkeit zurück? Wie erreichen wir unsere Sicherheits-Nerds und -Newbies gleichermaßen?

Blended Learning steht dabei für die sinnvolle Verzahnung von verschiedenen Lernformen, in der Regel klassisches Präsenzlernen, wie zum Beispiel Seminare oder Workshops mit einer online-basierten Selbstlernphase. Blended Learning ist im beruflichen Kontext unter anderem deshalb hervorragend geeignet, weil Mitarbeiter häufig stark in einen eng getakteten Arbeitsalltag eingebunden sind – eine selbstgesteuerte Onlinephase ist daher eine praktische Ergänzung zum Präsenztraining mit fixem Datum.

Der ein oder andere horcht bei dem Begriff „Präsenztraining“ jetzt vielleicht auf. Wir haben doch Corona! Doch so wie Hacker keine Rücksicht auf Corona nehmen, dürfen wir nicht nachlässig in der Schulung sein.

Warum sind Präsenztrainings so wichtig? Ganz einfach. Das Präsenztraining ist in den meisten Fällen der zentrale Kern von Blended Learning, denn hier treffen die Teilnehmer persönlich aufeinander. Diese Tatsache sollte unbedingt als Vorteil herausgearbeitet werden, da diese Zeit zum Beispiel in Form von offenen Fragerunden oder anderen Formen des persönlichen Austauschs untereinander genutzt werden kann. Inhaltlich können in einem Präsenztraining, das in Blended Learning eingebunden ist, fachlich anspruchsvollere Themen behandelt werden als ohne diese Kombination. Einführende Lektionen sowie die Vermittlung von Basiswissen kann vor der ersten Präsenzveranstaltung online stattfinden, denn dafür ist eine persönliche Betreuung oft nicht notwendig. In einer Präsenzphase entsteht so durch beispielsweise vorangegangene Onlinephasen kaum ein Gefälle zwischen den Lernenden. Auf diese Weise werden Teilnehmer weder unter- oder überfordert und bleiben motiviert wie auch leistungsstark.

Durch die verschiedenen Lernformate bekommen des Weiteren die verschiedenen „Lerntypen“ die Gelegenheit, ihre favorisierte Lernmethode für den größtmöglichen Erfolg zu verwenden. So können Mitarbeiter einfach auf dasselbe Wissensniveau gebracht werden.

Sicherheit geht uns alle an, von der Führungs- bis zur operativen Ebene. Eine Sicherheitskultur in Unternehmen zu schaffen, ist Management-Sache, denn Sicherheit, und das ist ganz wichtig, wird Top-down vorgelebt. Trotzdem befreit dieser Fakt keinesfalls den Einzelnen, selbst aufmerksam und umsichtig bei seinen Handlungen im Netz zu sein.

Im Homeoffice verschmelzen berufliche und private Sicherheitsrisiken plötzlich miteinander, Unternehmensdaten sind genauso gefährdet wie die eigenen sensiblen Daten. Diese Tatsache sollte Ansporn für jeden von uns sein, sich nicht auf eine vermeintliche Sicherheit zu verlassen, sondern aufmerksam im Cyberraum zu sein, Cyberkriminellen keine Angriffspunkte zu bieten und den Bildschirm eben nicht zu einem Fenster für Angreifer werden zu lassen. Mit der Schaffung von Security Awareness wird der Grundstein einer fundierten Sicherheitskultur gelegt, und wir alle agieren, nicht reagieren, im Sicherheitsumfeld unserer Unternehmen und unserer eigenen vier Wände.

Lisa Reinhardt, Expertin für Themen rund um Security Awareness bei der Adesso SE