Spearphishing, Ransomware, Malware-Download … Diese Cybersecurity-Bedrohungen betreffen die Mitarbeiter aller Unternehmen. Das gilt vor allem im Homeoffice.
Wirtschaftliche und politische Risiken
Cyberangriffe in Unternehmen und Behörden verfolgen wirtschaftliche und manchmal auch politische Interessen – je nachdem, um welche Branche es geht.
Können die Hacker folgende Ziele haben:
- Stehlen von Geld einer Privatperson oder eines Unternehmens
- Abgreifen der Kunden eines Unternehmens
- Schädigen des Rufs eines Unternehmens oder eines Politikers/einer politischen Partei
- industrielle, politische oder militärische Spionage
- usw.
An vorderster Front angesichts dieser zunehmenden zunehmenden Cybersicherheitsrisiken stehen die Mitarbeiter einer Organisation. Sensibilisierungsmaßnahmen sind daher unerlässlich, damit sie sich der Gefahren bewusst werden und entsprechend reagieren können.
Maßnahmen zur Sensibilisierung für IT-Sicherheit:
Planen regelmäßiger Schulungen
Schulungen für Cybersicherheit betreffen alle Mitarbeiter des Unternehmens und müssen regelmäßig angeboten werden. Es ist besser, sie in kleinen Gruppen zu organisieren, um den Gedankenaustausch zu fördern und sie, wenn möglich, an die Berufsprofile anzupassen.
Buchhalter oder Personaler brauchen nämlich eine andere Schulung in Cybersicherheit als Entwickler oder Vertriebsleute. Bei einer Segmentierung der Schulungen nach Berufen können auch präzise und konkrete Themen angesprochen werden, die für die jeweilige Tätigkeit eine Rolle spielen (WLAN-Netze auf Geschäftsreisen, betrügerische E-Mails usw.). Idealerweise sollten die Schulungsmodule kurz sein und nicht mehr als eine Stunde in Anspruch nehmen. Bei längeren Schulungen besteht die Gefahr, dass die Konzentration nachlässt und der Inhalt der Schulung weniger gut verstanden wir.
Es kann interessant sein, jede Schulung mit einem praktischen und zusammenfassenden Dokument abzuschließen, das dem Mitarbeiter als Gedankenstütze dient. Für den unterhaltsamen Aspekt können im Anschluss an die Schulungen auch Quiz mit Belohnungen angeboten werden, um die Mitarbeiter maximal zu motivieren, sich für das Thema zu interessieren.
Einsatz von Gamification
Mit Gamification lassen sich bei Cybersecurity-Schulungen ebenfalls sehr gute Ergebnisse in unterhaltsamem Rahmen erzielen. Verschiedene Organisationen bieten Escape Games oder Cyber Games zum Thema IT-Sicherheit an, bei denen die Mitarbeiter zum Beispiel in die Rolle eines Hackers schlüpfen. Diese interaktiven Rollenspiele und Schulungen geben die Möglichkeit, sich der Risiken besser bewusst zu werden und gleichzeitig lassen sie das Thema weniger beängstigend wirken.
Einsatz namhafter Spezialisten
Bei umfassenderen Schulungen ist die Mitwirkung eines bekannten Cybersecurity-Spezialisten eine gute Möglichkeit, die Aufmerksamkeit des Publikums zu fesseln und gleichzeitig von einer umfangreichen Expertise zu profitieren. Je nach Branche und den vom Unternehmen zu bewältigenden Herausforderungen kann es sich um spezialisierte Organisationen für IT-Sicherheit, Wissenschaftlicher oder auch Experten für Cyberabwehr handeln.
Stärkung der internen Kommunikation
Die Mitarbeiter müssen regelmäßig über das aktuelle Geschehen zur Cybersicherheit informiert werden, unabhängig davon, ob sie direkt ihr Unternehmen betreffen oder nicht. Konkrete Beispiele für Vorfälle und deren Folgen zu nennen, ist ein gutes Mittel zur Sensibilisierung.
So nehmen z.B. derzeit Spearphishing-Attacken immer mehr zu und betreffen immer mehr Organisationen. Diese Art von Cyberangriff richtet sich gezielt gegen einen Mitarbeiter eines Unternehmens, der Zugang zu sensiblen Informationen hat. In der Regel beruht dieses Verfahren auf Identitätsdiebstahl und starkem Social Engineering. Ziel des Angreifers ist es, eine E-Mail zu senden, die der Tätigkeit der betroffenen Person oder des betroffenen Unternehmens entspricht, und dazu anzuregen, auf einen Malware-Link zu klicken oder einen infizierten Dateianhang zu öffnen. Somit können die Daten des Mitarbeiters kompromittiert sein. Die Erfolgsquote von Spearphishing ist bedenklich hoch. Es ist notwendig, den Mitarbeitern solche Informationen per E-Mail, über ein soziales Unternehmensnetzwerk oder in einem internen System zu übermitteln. Zusammen mit diesen Mitteilungen können einige konkrete Vorgehensweisen genannt werden, um nicht in die Falle zu tappen.
Außerdem müssen die Mitarbeiter bei einem Zwischenfall schnell reagieren können, insbesondere wenn ihr Rechner infiziert und somit unbrauchbar ist. Als Hilfestellung können „SOS-Merkblätter“ zu verschiedenen aufgetretenen Problemen ausgedruckt und vorbeugend verteilt werden (Beispiel: „Ich habe auf einen falschen Link geklickt. Was soll ich tun?“). Die Mitarbeiter finden dort die Kontaktdaten der Support-Abteilung und einige einfache, zu ergreifende Maßnahmen, bis der Support tätig wird. Diese Merkblätter sind besonders nützlich für Mitarbeiter im Homeoffice, die angesichts dieser Sicherheitsproblemen stärker auf sich selbst gestellt sind.
Durchführen von Testkampagnen
Um das Bewusstsein zu schärfen, gibt es nichts Besseres als einen (falschen) Cyberangriff. Cybersecurity-Testkampagnen betreffen das gesamte Unternehmen und verfolgen ein zweifaches Ziel: Sie zeigen den Mitarbeitern, dass sie von Angriffen betroffen sein können, und messen auf diese Weise ihre Wachsamkeit. In der Regel werden Phishing-Kampagnen durchgeführt, da diese Art von E-Mail-Angriffen immer noch am häufigsten ist. Nach Abschluss dieser Testkampagnen und je nach Ergebnis sollten den Mitarbeitern zusätzliche Schulungsmodule angeboten werden.
Drei unverzichtbare Vorkehrungen zur Sensibilisierung für Cybersicherheit
Ein vielfältiges Angebot an Aktionen
Es ist nicht immer einfach, Zeit für eine Schulung zu finden, und die meisten Arbeitnehmer kommen nur schleppend der Aufforderung zur Cybersecurity-Schulung nach. Der Schlüssel zum Erfolg liegt also darin, ein vielfältiges Schulungsprogramm anzubieten, um das Thema aus verschiedenen Blickwinkeln anzugehen und konkrete und praktische Informationen zu vermitteln. Ohne den didaktischen und unterhaltsamen Aspekt zu vergessen!
Anpassung der Sensibilisierung an die verschiedenen Berufe
Für die Mitarbeiter ist es wichtig, Techniken zu erlernen, um sich selbst zu schützen, aber auch und vor allem, um sich bewusst zu werden, dass heute jeder ein Ziel für die Hacker ist. Die globale Sensibilisierung der Belegschaft muss gleichzeitig mit der Sensibilisierung der verschiedenen Berufsprofile erfolgen.
Verstärkung der Schulungen für Homeworker
Benötigen alle Mitarbeiter Schulungen in IT-Sicherheit, so gilt dies noch mehr für Mitarbeiter im Homeoffice. Seit der Einführung von Homeoffice sind die Cyberangriffe sprunghaft gestiegen – und damit auch die Kosten für die Unternehmen. Diese haben ein großes Interesse daran, ein Maximum an Schulungen für Homeoffice-Mitarbeiter zu organisieren und ihren Fernsupport im Problemfall zu intensivieren.
Mehr bewährte Vorgehensweise für Sicherheit im Homeoffice entdecken:
