Awareness

7 Schritte für mehr Sicherheitsbewusstsein im eigenen Unternehmen

Veröffentlicht am

Phishing-Attacken sind in Unternehmen keine Seltenheit und erst recht keine Ausnahme. Je nach Umfrage oder Datensatz finden in kleinen und mittelständischen Unternehmen häufig mehrere hundert Phishing-Versuche pro Tag statt. Security Awareness ist daher auch ausschlaggebend für die gebotene Sicherheit. Ziel sind Unternehmen nämlich immer und wer nicht aufpasst, der wird schnell zum Opfer derartiger Angriffe.

Auch wir kennen solche Berichte und Zahlen aus dem Alltag. Daher haben wir ein praktisches 7-Schritte-Modell beschrieben, welches die Security Awareness entsprechend stark erhöhen soll. Wir finden das spannend und möchten Ihnen das Modell daher gerne ein wenig genauer vorstellen. Denn genug Sicherheit kann es nicht geben und je einfacher die Informationssicherheit in der Praxis angewandt werden kann, umso besser.

7 Schritte zur besseren Security Awareness

Natürlich lässt sich das Thema Security Awareness nicht einfach pauschalisieren. Standardisierte Trainings ergeben hier oft wenig Sinn und so kommt es häufig auch auf das Unternehmen, die Branche und die Bedingungen an, die das Security Awareness Training auszeichnen. Auch wir passen unsere Modelle daher immer individuell an, um Ihnen ganz persönlich zu helfen, statt einfach nur das zu empfehlen, was immer irgendwie funktioniert.

Die sieben Schritte zum erhöhten Sicherheitsbewusstsein sind daher auch nicht gleichzusetzen mit einer entsprechenden Schulung. Vielmehr geht es hier in erster Linie darum, das Sicherheitsbewusstsein elementar zu erhöhen. Das gelingt mit den hier dargestellten Schritten recht gut, wie wir finden. Wenn Sie für die Sicherheit in Ihrem Unternehmen verantwortlich sind, sollten Sie daher unbedingt weiterlesen.

1. Bewusstsein erlangen

Phishing kann jedes Unternehmen, in jeder Branche treffen. Sie sollten also zunächst das Bewusstsein dafür entwickeln, dass Security Awareness Trainings tatsächlich erforderlich sind. In diesem Bereich ein Budget festzusetzen ist keine Verschwendung, sondern eine wichtige Notwendigkeit, um Schaden vom Unternehmen fernzuhalten. Nehmen Sie die Gefahren wahr.

2. Security Awareness Trainings

Security Awareness ist kein Produkt von der Stange und nichts, was sich Ihre Mitarbeiter selbstständig aneignen sollten. Suchen Sie sich also einen zuverlässigen Partner, der in Ihrem Unternehmen entsprechende Security Awareness Trainings vollzieht. Wichtig dabei ist, dass diese Schulungen ganz gezielt auf Fälle eingehen und an das jeweilige Unternehmen angepasst sind. Nur auf diese Weise verstehen Ihre Mitarbeiter, wie wichtig Security Awareness ist und wo die häufigsten Sicherheitsprobleme in Unternehmen zu finden sind.

3. Phishing Simulationen durchführen

Hat ein entsprechendes Security Awareness Training stattgefunden, führen wir für gewöhnlich noch sogenannte Phishing Simulationen durch. Im Grunde handelt es sich dabei um kontrollierte Phishing-Attacken, die jeweils von uns stammen und herausfinden sollen, wie groß das Risiko für einen erfolgreichen Phishing-Angriff in Ihrem Unternehmen ausfällt. Hat das Security Awareness Training dafür gesorgt, dass gängige Angriffe von Ihren Mitarbeitern zeitnah erkannt werden? Die Phishing Simulation offenbart es.

4. Tools einsetzen

Es gibt eine Vielzahl an Security-Tools, die dabei helfen können, Maßnahmen im eigenen Unternehmen entsprechend effektiv umzusetzen. Unter anderem auch Phishing-Tools, die von der Geschäftsführung selbst ausgeführt werden können, um schnelle und möglichst realistische Phishing Tests durchzuführen. Die 12 besten Phishing Tools präsentieren wir Ihnen hier im Artikel. Am Ende kommt aber natürlich noch weitaus mehr Software zum Einsatz, die ebenfalls wieder für Ihr Unternehmen abgestimmt werden sollte.

5. Mitarbeiter sensibilisieren

Nachdem nun bereits ein Training stattgefunden hat und Phishing-Simulationen und Tools aufzeigen konnten, wo die tatsächlichen Probleme liegen, gilt es nun die Mitarbeiter selbst zu sensibilisieren. Der Faktor Mensch ist und bleibt nämlich ein Risiko für die Cybersicherheit und Angestellte sollten sich darüber im Klaren sein, was das im Einzelfall bedeutet. Klären Sie also auf, erzeugen Sie Statistiken aus den Phishing-Simulationen, zeigen Sie, welche Angriffe durchkommen und wie ein vermeintlich harmloser E-Mail-Anhang große sicherheitsrelevante Auswirkungen nach sich ziehen kann.

6. Diskussionskultur einführen

Wir haben in der Vergangenheit schon einmal ausführlich darüber berichtet, wie eine fehlende Diskussionskultur dafür sorgen kann, dass das Sicherheitsbewusstsein im eigenen Unternehmen gefährdet ist. Offenheit und Diskussionen gehören in Unternehmen nämlich wie selbstverständlich mit dazu. Fehlt es jedoch an einer Diskussionskultur, werden Fehler nicht gemeldet und Probleme nicht besprochen. Sind die Mitarbeiter sensibilisiert, sollten sie diese Themen auch untereinander besprechend uns sich somit gegenseitig kontrollieren. Doch genau so etwas gelingt meist nur mit einer entsprechend offenen Diskussionskultur.

7. Individuelle Maßnahmen einleiten

Sicherheitsbewusstsein in Unternehmen ist etwas, was dauerhaft im Blick behalten werden muss, um ganzheitlich zu funktionieren. Das hängt auch damit zusammen, dass sich die Bedingungen periodisch verändern. Phishing-Versuche werden moderner oder nehmen sogar ganz neue Züge an, Mitarbeiter kommen und gehen und so ist Security Awareness etwas, bei dem es um eine gewisse Regelmäßigkeit geht. Mit monatlichen Trainings, jährlichen Schulungen und Phishing-Simulationen, wie auch Pentests für weitere Schwachstellen, lässt sich dieser Aspekt jedoch ausgesprochen gut unter Kontrolle halten.

Sicherheitsbewusstsein individuell handhaben

Mit das wichtigste bei all diesen Punkten ist, dass kein Schritt generisch ausfallen sollte. Es gibt nicht den *einen* Test oder die *eine* Phishing-Simulation, die überall ideal funktioniert. Solche Maßnahmen gilt es daher jederzeit individuell zu gestalten und auszuführen. Damit diese an das jeweilige Unternehmen angepasst und entsprechend effektiv umgesetzt werden können.

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.