Im Januar 2021 vermeldete das BKA einen großen Erfolg: Im Rahmen der internationalen Kooperation von Strafverfolgungsbehörden war es gelungen, die Infrastruktur der Schadsoftware Emotet zu zerschlagen. Allein für Deutschland wird der Schaden, der durch Infektionen mit Emotet verursacht wurde, auf 14,5 Millionen Euro beziffert.
Parallel dazu verändert eine andere Infektionskrankheit unser tägliches Leben und Arbeiten. Bedingt durch Corona verschärft sich die Bedrohungssituation im digitalen Raum. Mitarbeiter agieren im Homeoffice, zum Teil außerhalb der firmeneigenen, geschützten IT-Infrastrukturen, mobile Endgeräte werden vermehrt eingesetzt. Kriminelle nutzen die weltweite Pandemie-Situation technisch aus und vor allem auch als thematischen Ansatzpunkt für Social Engineering und andere Attacken.
Für den Schutz von Unternehmen gibt es einen einfachen Weg, um sich gegen digitale Infektionen zu rüsten: Alle Mitarbeitenden im Unternehmen sensibilisieren - Cyber Security Awareness schaffen.
Cyber Security Awareness wirkt auch, wo die Firewall nicht schützt
Nach Bitkom-Angaben zeichnete sich in Deutschland für Ausgaben im Bereich Cyber Security im Pandemie-Jahr 2020 ein Investitionsvolumen in Höhe von 5,2 Milliarden Euro ab. Nicht beziffert ist hier der konkrete Anteil, der auf Trainings und die Sensibilisierung der Belegschaft in Unternehmen entfällt.
Laut einer Erhebung von KnowBe4 werden nur in 47 Prozent der befragten Unternehmen Cyber Security Trainings durchgeführt, wobei aber 67 Prozent der Unternehmen als eine ihrer größten Ängste die Gefahr durch fahrlässige Anwender benennen. Hier gibt es ein deutliches Gap zwischen Ängsten und der Realität, da tatsächlich die wenigsten Angriffe durch die unternehmensinterne Kollegschaft verursacht oder absichtlich herbeigeführt werden.
In den allermeisten Fällen ist Unachtsamkeit der Belegschaft - also mangelnde Awareness - der Grund, warum Angreifer einen Weg ins Unternehmen finden. Der Lösungsansatz hierzu ist die Sensibilisierung aller Menschen im Unternehmen für einen bewussten, verantwortungsvollen Umgang mit der generellen IT-Compliance im Unternehmen und den aktuellen Herausforderungen im Rahmen von Corona.
Mithilfe eines Cyber Security Checks können Unternehmen den Reifegrad ihrer Cybersicherheit ermitteln und erhalten einen Überblick über den konkreten Handlungsbedarf. So soll durch ein kontinuierliches Awareness Training das Risiko- und Sicherheitsbewusstsein eines jeden einzelnen Mitarbeiters gestärkt werden.
Menschliche Abwehrkräfte durch Cyber Security Awareness Trainings sensibilisieren
Das computerbasierte Cyber Security Awareness Training beginnt mit einem Einstufungstest und orientiert sich darauf aufbauend am Wissensstand der einzelnen Teilnehmer. So werden die Stärken, Schwächen als auch der individuelle Lerntyp des Mitarbeiters berücksichtigt und ein auf die jeweilige Person angepasstes Training gewährleistet. Darüber hinaus beherzigt die Schulung auch die internen Organisations- und Sicherheitsstrukturen sowie die Kultur des Unternehmens.
Insgesamt durchläuft jeder Teilnehmer mehrmals Trainings-, Test- und Analysephasen. Die auf ihn zugeschnittenen Schulungsinhalte von Erklärvideos bis hin zu Animationen sind vielfältig gestaltet und erfordern die aktive Interaktion des Mitarbeiters. Dabei kommen auch spielerische Komponenten und kleine Wettbewerbe zum Einsatz, die zusätzlich motivieren sollen.
Nach einer abgeschlossenen Trainingseinheit wird in der Testphase der Wissensstand des Teilnehmers geprüft und abgefragt. In der daran anschließenden Analysephase wird versucht die noch bestehenden Lücken des Mitarbeiters zu erkennen und diese durch Schulungen und Simulationsübungen zu schließen.
Dies wird beispielsweise durchsimulierte Attacken im direkten Arbeitsumfeld geübt. So erhalten die Angestellten unangekündigt Phishing-Mails auf ihre geschäftliche Mailadresse. Sie sollen diese optimalerweise als solche erkennen und an die zuständigen IT-Sicherheits-Verantwortlichen melden.
Letztendlich wird ein Bewusstsein durch aktives Üben und tägliches Erleben erzeugt -nicht durch einseitigen Frontalunterricht mit Powerpoint-Folien.
Nicht locker lassen beim Etablieren von Cyber Security Awareness
Eine wichtige Grundvoraussetzung zur Etablierung eines nachhaltigen Sicherheitsbewusstseins ist das Commitment des gesamten Unternehmens. Angefangen von Vorstand und Geschäftsführung, die als Vorbilder fungieren und eine Sicherheitskultur vorleben, muss sich die Awareness durch alle Geschäftsbereiche ziehen und bei jedem einzelnen Mitarbeiter ankommen.
Außerdem sind regelmäßige Erinnerung, Konfrontation und Auseinandersetzung mit Sicherheitsgefahren ein entscheidender Schlüssel zum Erfolg. Dies wird durch die ständige Wiederholung der Trainings-, Test- und Analysephasen ermöglicht. So wird regelmäßig der aktuelle Status neu bewertet und Optimierungen können gezielt vorgenommen werden.
Einen finalen Zustand, der ein Wissen über sämtliche Gefahrenquellen im Internet umfasst und vor allen vorstellbaren cyberkriminellen Angriffen schützt, gibt es jedoch nicht. Immer wieder nutzen Hacker neue Strategien, um an sensible Unternehmensdaten zu gelangen. Der einzige Schutz ist die Sensibilisierung eines jeden Einzelnen, um ein Bewusstsein für Gefahren zu schaffen und eine nachhaltige Sicherheitskultur in den Köpfen der Mitarbeiter zu verankern.
Mehr zum Thema Cyber Resilienz:
Chancen für den Channel
Wirkungsvollste Waffe gegen Cyber-Angriffe
Coronakrise als Bescheuniger
Digitale Identitäten sichern