CAS IT Management & Agile Transformation

Steigerung des Bewusstseins der Mitarbeiter für Cyber-Sicherheit in KMU

von Oliver Müller

Heutzutage ist die IT aus einem Unternehmen nicht mehr wegzudenken, umso wichtiger ist es, die Mitarbeiter im Umgang mit Internet, E-Mail und Co. zu schulen. Dieser Blog liefert einige Erklärungen und Tipps, die das Bewusstsein der Mitarbeiter schärfen.

Top 3 Bedrohungen bei KMU’s

Gemäss dem National Centre for Cybersecurity (NCSC) wurden im Jahr 2022 rund 34’500 Cybercrime-Vorfälle in der Schweiz gemeldet, was einem Durchschnitt von 2’900 Vorfällen pro Monat entspricht. Gemäss Inside-IT kostete ein Cybervorfall  Schweizer Unternehmen im Durchschnitt über 500’000 Dollar, während der weltweite Durchschnitt bei 300’000 Dollar liegt. Die Tendenz der Vorfälle ist steigend, da die Angreifer wissen, bei wem mehr Geld zu holen ist.

Das Podium der Top 3 Bedrohungen für Unternehmen sieht wie folgt aus:

  1. Schadsoftware (Malware)
  2. Identitätsdiebstahl
  3. Unvorbereitet auf Krisen
Schadsoftware (Quelle: pixabay.com)

 

Warum ist die Sensibilisierung der Mitarbeiter für ein KMU wichtig?

KMU sind besonders beliebte Opfer von Cyber-Angriffen, da sie technisch nicht so gut geschützt sind wie Grossunternehmen und der Cyber-Sicherheit in KMU wenig Aufmerksamkeit geschenkt wird. Mitarbeiter sind oft das erste Ziel von Cyberangriffen wie Phishing-Mails oder CEO-Fraud. Der Grund dazu ist, dass Mitarbeitern Zugriff auf sensible Informationen und Geschäftsdaten haben. Durch die Sensibilisierung der Mitarbeiter können Sicherheitsvorfälle und damit verbundene Kosten minimiert werden. Dies beinhaltet den Verlust von Arbeitszeit durch Angriffe, die Wiederherstellung von Systemen nach einem Angriff, den Verlust von Kundenvertrauen und mögliche rechtliche Konsequenzen. Mitarbeiter, die über die Risiken informiert sind, können dazu beitragen, diese Vorfälle zu verhindern oder frühzeitig zu erkennen. Dies hilft, das Risiko von erfolgreichen Angriffen zu verringern und die Sicherheit des Unternehmens zu erhöhen.

Einleuchtend (Quelle: pixabay.com)

 

Was ist Phishing?

Phishing (Quelle: Pixabay.com)

Phishing, abgeleitet vom englischen Wort «fishing» für «angeln», ist eine Betrugsmasche von Cyberkriminellen, die es in den meisten Fällen auf Ihr Geld oder Ihre Identität abgesehen haben. Mit gefälschten E-Mails, SMS oder Anrufen versuchen sie, Sie auf eine betrügerische Website zu locken oder ein mit Schadsoftware infiziertes Dokument in Ihrem Posteingang zu öffnen. Um Phishing-Attacken zu erkennen, sind Vorsicht und gesunder Menschenverstand gefragt. Die Täuschungsqualität von Phishing-Mails ist sehr unterschiedlich und reicht von Rechtschreibfehlern bis hin zu sehr kurzen Terminfristen oder vorgetäuschter Autorität.

 

Was sind Tipps und Tricks um die Mitarbeiter in einem KMU zu sensibilisieren?

Damit Ihr Unternehmen zukünftig weiterhin gegen Cyberkriminellen gewappnet ist, gibt es dazu einige Tipps und Tricks von meiner Seite:

  1. Schulungen und Workshops

Organisieren Sie regelmässig Schulungen und Workshops zu IT-Sicherheitsthemen. Diese können Online oder persönlich stattfinden und sollten verschiedene Aspekte der Cybersicherheit abdecken wie zum Beispiel Erklärung von Phishing, Social Engineering, sichere Passwortverwendung oder Umgang mit sensiblen Daten.

  1. Aktuelle Bedrohungen kommunizieren

Informieren Sie die Mitarbeiter regelmässig über aktuelle IT-Bedrohungen und Betrugsmaschen. Senden Sie Rundmails um über neue Phishing-Techniken oder andere Cyberbedrohungen zu informieren. Sensibilisieren Sie die Mitarbeiter mit den Warnzeichen und die richtige Vorgehensweise.

  1. Simulierte Phishing-Angriffe

Führen Sie regelmässig simulierte Phishing-Angriffe durch, um die Reaktion der Mitarbeiter zu überprüfen und ihr Bewusstsein zu schärfen. Anhand der Phishing-Simulation können Sie den Mitarbeitern eine Rückmeldung und Schulungsmöglichkeiten bieten, wenn sie auf solche Angriffe hereinfallen.

  1. Erstellen Sie klare IT-Richtlinien

Erstellen Sie klare IT-Sicherheitsrichtlinien und stellen Sie sicher, dass alle Mitarbeiter sie verstehen und befolgen. Die Richtlinien sollten Best Practices für die Passwortsicherheit, den sicheren Datenaustausch, die Nutzung von Unternehmensressourcen und den Umgang mit externen Links und Anhängen enthalten. Machen Sie diese Richtlinien leicht zugänglich, z. B. über das Intranet oder ein internes Handbuch.

  1. Empfohlene Passwortlänge und Multi-Faktor-Authentifizierung

Es wird empfohlen, Passwörter mit mindestens 12 Zeichen zu verwenden. Je länger das Passwort, desto schwieriger ist es für Angreifer, es zu erraten oder mit Brute-Force-Methoden zu knacken. Verwenden Sie eine Kombination aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen, um die Komplexität des Passworts zu erhöhen. Fordern Sie Ihre Mitarbeiter auf, das Passwort alle 90 Tagen zu ändern und achten Sie darauf, dass die Mitarbeiter die 10 letzten Passwörter nicht mehr verwenden können. Eine Studie hat zudem ergeben, dass die meisten Passwörter mit einem Buchstaben beginnen und nicht mit Sonderzeichen oder Zahlen. Multi-Faktor-Authentifizierung (MFA) ist eine Authentifizierungsmethode, bei der der Benutzer zwei oder mehr Verifizierungsfaktoren angeben muss, um Zugang zu seinem Konto zu erhalten.

Wie lange Ihr Passwort einer Brute-Force-Attacke widerstehen kann, zeigt Ihnen diese Tabelle:

Weiterführende Links zum Thema

Sicher ins Internet – Ein kostenloses Angebot für eine Schulung von Swisscom AG.

Swisscybersecurity – Weitere interessante Informationen zum Thema

Nationale Zentrum für Cybersicherheit – Kompetenzzentrum des Bundes für Cybersicherheit

Beitrag teilen

Oliver Müller

Oliver Müller ist IT Service Manager Operation bei der Firma Implenia AG und bloggt aus dem Unterricht des CAS IT Management & Agile Transformation.

Alle Beiträge ansehen von Oliver Müller →

Schreibe einen Kommentar