Der Mensch wird immer häufiger als Einfallstür für Cyberangriffe und Datendiebstahl ausgenutzt.
Der Mensch wird immer häufiger als Einfallstür für Cyberangriffe und Datendiebstahl ausgenutzt (Bildquelle: Pixabay).
CAS Digital Transformation

Digitale Abwehrkräfte der Mitarbeitenden stärken

von Simona Studer

Die Arbeitswelt wird vermehrt digitalisiert. Die Unternehmungen investieren viel Geld in technologische Sicherheitslösungen, der Faktor Mensch wird dabei oft vergessen. Diese Schwachstelle nutzen Cyberkriminelle aus. Die Mitarbeitenden sind sich der Bedrohung meist gar nicht bewusst und handeln ohne böse Absichten. Dabei kann der Mensch die grösste Chance in der Abwehr von Cyberangriffen sein, wenn er richtig sensibilisiert und geschult wird. 

Faktor Mensch – Fluch und Segen

Die Kriminellen nutzen verschiedene Möglichkeiten, um an sensible bzw. vertrauliche Daten der Unternehmen zu kommen. Ein klassisches Beispiel: Aus Höflichkeit hält man einer fremden Person die Tür ins Gebäude auf. Eine kleine Gefälligkeit, die fatale Folgen haben kann. In der Fachsprache wird diese Angriffsmethode als Social Engineering bezeichnet. Die Gutmütigkeit des Menschen wird hierbei ausgenutzt. Er stellt somit einen erheblichen Risikofaktor dar – ist aber zeitgleich auch die grösste Chance für die Umsetzung von Sicherheitsmassnahmen.

Sicherheitskultur aufbauen

Es stellt sich für die Unternehmungen nicht mehr die Frage, ob sie Opfer eines Cyberangriffes werden, sondern wann. Die Firmen müssen ihre Belegschaft vermehrt auf Cybersicherheit sensibilisieren und entsprechend schulen. Nur so können sie sich vor den finanziellen und reputationsschädigenden Auswirkungen schützen.

Das Grundgerüst für eine positive Veränderung der Verhaltensweisen von Mitarbeitenden.
Das Grundgerüst für eine positive Veränderung der Verhaltensweisen von Mitarbeitenden (Bildquelle: Bundesamt für Cybersicherheit).

Es gibt eine Vielzahl von Lösungsansätzen, wie die Awareness der Mitarbeitenden erhöht werden kann:

  • Schulungen

Durch das Absolvieren regelmässiger Trainingseinheiten kann eine Resilienz aufgebaut werden. Hierzu sind E-Learnings sehr gut geeignet. Bei den Trainingssessions ist darauf zu achten, dass sie kurz und prägnant sind. So lassen sie sich besser in den Arbeitsalltag integrieren und werden von der Belegschaft nicht als zusätzlicher Ballast empfunden. Aktuell sind Lerneinheiten im Kommen, welche auf Online-Spielen basieren (Gamification). Durch das sogenannte «Game-based»-Lernen soll die Belegschaft animiert werden, sich aktiver und motivierter mit den Lerninhalten auseinanderzusetzen. Ebenfalls auf dem Vormarsch ist Blended-Learning, ein attraktiver Mix aus Online-Schulungen und Präsenzveranstaltungen.

Die Mitarbeitenden können durch kontinuierliche Schulungen zum Umgang mit Unternehmensdaten und IT-Systemen ihr Verhalten positiv verändern und so massgeblich zur IT-Sicherheit beitragen.

  • Workshops

Es können verschiedene Arten von Workshops zu aktuellen Sicherheitsthemen durchgeführt werden. Folgende Themen eignen sich unter anderem zur Durchführung von Workshops:

  • Information/Kommunikation

Eine regelmässige Kommunikation an die Mitarbeitenden ist entscheidend. Je nach Arbeitsgebiet und Zugriffsrechten muss themen- und zielgruppenorientiert kommuniziert werden. Als Informationskanäle sind der Versand von Newslettern oder Posts im Intranet zu empfehlen. Auch Give-aways, z. B. eine Mausmatte oder ein Gadget für das mobile Arbeiten, kommen immer wieder gut an.

Als Informationsquelle eignet sich die Homepage des Bundesamtes für Cybersicherheit. Hier werden nützliche Informationen und aktuelle Themen aufgegriffen und verständlich wiedergegeben.

  • Simulierte Angriffe

Social Engineering zielt darauf ab, eine bestimmte Verhaltensweise des Menschen hervorzurufen. Ein mögliches Übungsszenario sind simulierte Phishing-Angriffe. Das Unternehmen verschickt gefälschte E-Mail-Nachrichten, in denen die Mitarbeitenden aufgefordert werden, auf einen weiterführenden Link zu klicken oder Zugangsdaten einzugeben. Die Reaktionen der Mitarbeitenden können daraufhin analysiert werden. Mit den Ergebnissen kann der weitere Schulungsbedarf ermittelt werden. Aus Fehlern lernt man bekanntlich am meisten. Dennoch ist es wichtig, dass die Mitarbeitenden die Hintergründe der Massnahme verstehen, damit diese nicht als Schikane empfunden wird.

  • Belohnungssystem

Durch die Einführung eines Belohnungssystems kann für Mitarbeitende der Anreiz geschaffen werden, proaktiv Sicherheitsrisiken oder Unregelmässigkeiten im Betrieb zu melden. Dadurch wird das Sicherheitsbewusstsein erhöht.

Fazit

Die Unternehmungen müssen das Thema der Security Awareness als dauerhaften Prozess anerkennen und in der Unternehmenskultur verankern. Der Faktor Mensch ist für die Cybersicherheit im Unternehmen unverzichtbar. Nur mit kontinuierlichen Schulungen und einer gelebten Sicherheitskultur können die digitalen Abwehrkräfte der Mitarbeitenden langfristig gestärkt werden.

 

Beitrag teilen

Simona Studer

Simona Studer arbeitet bei der Gemeinde Risch und ist interne Informationssicherheitsbeauftragte. Daher interessiert sie sich stark für das Thema Security Awareness. Sie besucht das CAS Digital Transformation.

Alle Beiträge ansehen von Simona Studer →

Schreibe einen Kommentar