2022 / Awareness

Sensibilisierung für IT-Sicherheit: Mitarbeiter schulen und auf potenzielle Gefahren vorbereiten

Veröffentlicht am

Mit einer Firewall können sich Unternehmen vor Angriffen schützen und durch die Protokollierung sogar einzelne Anfragen nachvollziehen. Viel Geld wird in die IT-Sicherheit investiert, um die eigenen Systeme bestmöglich abzuriegeln und vor Cyberkriminellen und deren Attacken zu schützen. Die Digitalisierung verlagert die eigenen Daten zudem immer weiter in die Cloud, erfordert Passwörter, Schlüssel und andere Maßnahmen der Identifizierung.

Doch ganz egal, wie sicher das IT-System in Ihrem Unternehmen auch sein mag, es gibt immer Menschen, die darauf Zugriff haben. Der Mensch wird dabei in vielen Bereichen zur Schwachstelle und zum potenziellen Sicherheitsrisiko. Vor allem natürlich dann, wenn keine Kultur der Sicherheit etabliert und die Mitarbeiter nicht für Angriffe sensibilisiert worden sind.

Über genau dieses Thema möchten wir in unserem heutigen Blogbeitrag schreiben, denn die Sensibilisierung Ihrer Angestellten bezüglich der IT-Sicherheit ist ein wichtiger und doch oft stark unterschätzter Faktor. Warum das so ist und wie sie es besser machen können, schauen wir uns nun einmal an.

Der Mensch als Sicherheitsrisiko im Unternehmen

Wie Eingangs bereits erwähnt, bleibt der Mensch das größte Sicherheitsrisiko in fast allen Unternehmen. Natürlich nur dann, wenn ansonsten alle IT-Sicherheitsmaßnahmen entsprechend sorgfältig umgesetzt worden sind. Doch am Ende bleiben es die Mitarbeiter, die immer Zugriff auf sensible Bereiche haben oder Aktionen einleiten können, die unter Umständen für Probleme sorgen.

Dabei geht es hier keinesfalls darum, Mitarbeiter zu diffamieren oder als Schuldige abzustempeln. Vielmehr sind Mitarbeiter in den letzten Jahren immer häufiger das Ziel von Cyberkriminellen geworden. Sie werden also bewusst ausgehorcht, beobachtet oder attackiert, was Unternehmen wissen sollten, ebenso wie die Mitarbeiter, um sich darauf vorbereiten zu können. Nur durch Wissen kann präventiv verhindert werden, dass es zu einem Sicherheitsvorfall innerhalb der eigenen Reihen kommt.

Genau deshalb ist es so wichtig, Mitarbeiter zu zu sensibilisieren und darauf vorzubereiten, dass sie jederzeit Ziel eines Angriffs werden könnten. Sie müssen lernen, sicherheitsrelevante Aufgaben öfter zu hinterfragen und sicherzustellen, von wem diese Anweisungen eigentlich kommen. Doch dazu später mehr.

Wo Sicherheitskritische Informationen geleakt werden

Heutzutage ist Social Media Teil unseres Alltags und das gilt natürlich auch für die Mitarbeiter. Über soziale Medien werden fortlaufend potenziell gefährliche Informationen preisgegeben. Ebenso ist die Kontaktaufnahme mit Einzelpersonen im Bereich Social Media einfacher als jemals zuvor geworden. Und glauben Sie uns, wenn wir Ihnen sagen, dass Cyberkriminelle diesen Faktor längst nutzen, um sich Zugang zu einer Schwachstelle, in diesem Fall der jeweiligen Person zu verschaffen.

Seit Corona haben zudem viele kleine und mittelständische Unternehmen auf das Home Office umgestellt. Was im ersten Moment toll klingt, schafft Raum für potenzielle Probleme im Bereich Social Engineering. Etwa bei der Vermischung von Arbeit und Privatsphäre und dem Einloggen in Sicherheitsbereiche, die über private Geräte stattfinden, statt über die gestellte und abgesicherte Hardware.

Gleichzeitig sind Techniken wie CEO-Fraud und Deepfakes ein Thema geworden, welches nicht vernachlässigt werden darf. Über beides hatten wir bereits ausführliche Artikel verfasst, weil die Techniken immer häufiger von Cyberkriminellen für Angriffe genutzt werden.

Wie eine Sicherheitskultur Angriffe verhindern kann

Eine Sicherheitskultur und Sensibilisierung für diesen Bereich kommt immer dann zu tragen, wenn Ihre Angestellten allein sind. Im Home Office zum Beispiel kann nur ein Verständnis und eine Kultur der Sicherheit dafür sorgen, dass ein korrektes Ausloggen stattfindet und Software für die Arbeit nicht mal eben auf dem Privatrechner ausgeführt wird. Nur wenn dies im Unternehmen vorgelebt und anstrebt wird, verinnerlichen alle im Team diese Aspekte gleichermaßen, sodass von einer Sicherheitskultur gesprochen werden kann.

Sind die Mitarbeiter in Ihrem Unternehmen für das Thema sensibilisiert, wird Social Engineering für Angreifer deutlich schwieriger. Weil alles, was außerhalb der Norm liegt und vielleicht merkwürdig erscheint, offen hinterfragt wird. Durch die Sicherheitskultur geben Sie den Mitarbeitern einen Raum dafür, auch mal nachzufragen oder zu verifizieren, statt alles blind auszuführen, was der vermeintliche Chef Ihnen aufträgt.

CEO-Fraud hat keinen Erfolg, wenn auch der CEO sich immer erst legitimieren muss und mit gutem Beispiel vorangeht, indem er das auch von seinen Mitarbeitern verlangt. Deepfakes sind leichter zu durchschauen, wenn jeder Angestellte über die Möglichkeit solcher Fakes vorab Kenntnis erlangt und lernt, auf entsprechende Anzeichen zu reagieren. Doch all das wird nur dann geschehen, wenn die Mitarbeiter in Ihrem Unternehmen eine Sicherheitskultur leben, weil sie für genau diese sensibilisiert worden sind.

Mitarbeiter für Sicherheit entsprechend sensibilisieren

Zum Ende hin ist es essenziell zu verstehen, dass Sicherheit etwas ist, was erst erlernt werden muss. Die mehrmals erwähnte Sicherheitskultur ist nicht von heute auf morgen vorhanden. Sie entsteht durch Vorbildfunktionen, durch Einhaltung der Sicherheitsprotokolle in allen Bereichen, durch die immer wieder deutlich gemachte Notwendigkeit, dass jeder einzelne Mitarbeiter diese Kultur der Sicherheit auch tatsächlich lebt.

Mit Fortbildungen, Seminaren und klaren Regeln, wird sie über die Jahre hinweg entstehen und sich dann auch automatisch auf neue Mitarbeiter übertragen. Weil es in Ihrem Unternehmen zur Normalität wird, die Mitarbeiter es vorleben und verinnerlichen. Dabei ist es wichtig ein Verständnis, ohne unangenehmen Druck oder Strafe zu erschaffen. Erzeugen Sie Motivation und keinen Zwang.

Durch Live-Hacking, Phishing-Simulationen und Pentest können wir für Sie herausfinden, wo Schwachstellen in Ihrem Unternehmen liegen. Lassen Sie uns diese finden und Ihren Mitarbeitern gemeinsam präsentieren, damit selbige verinnerlichen können, wie Sie ihr Verhalten in Zukunft anpassen müssen, um für mehr Sicherheit zu sorgen.

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.