Security-Awareness-Trainings

Die Mitarbeiter als Risiko für die IT-Sicherheit



Andreas Th. Fischer ist freier Journalist im Süden von München. Er verfügt über langjährige Erfahrung als Redakteur bei verschiedenen IT-Fachmedien, darunter NetworkWorld Germany, com! professional und ChannelPartner. Seine fachlichen Schwerpunkte liegen in den Bereichen IT-Security,  Betriebssysteme, Netzwerke, Virtualisierung, Cloud Computing und KI. 
G Data plädiert für bessere und häufigere Security-Awareness-Trainings in den Unternehmen, um Cyber-Angriffe effektiver abwehren zu können.
"Viele Mitarbeiter sind unsicher im Umgang mit der IT und anfällig für Fehler." Nikolas Schran, Product Owner Cyber Defense Academy bei G Data
"Viele Mitarbeiter sind unsicher im Umgang mit der IT und anfällig für Fehler." Nikolas Schran, Product Owner Cyber Defense Academy bei G Data
Foto: G Data

IT-Sicherheit gehört bei den meisten Mitarbeitern nicht zu den Kernaufgaben. Daher darf es niemanden verwundern, wenn immer wieder Angestellte auf gefälschte Rechnungen oder Bewerbungen hereinfallen. So gab die Hälfte der für eine IT-Security-Studie von G Data befragten Mittelständler an, dass eine erfolgreiche Cyber-Attacke nur durch den Fehler eines der eigenen Angestellten möglich war.

Unsicherheiten im Umgang mit der IT

"Viele Mitarbeiter sind unsicher im Umgang mit der IT und anfällig für Fehler", erläutert Nikolas Schran, Product Owner Cyber Defense Academy bei G Data. "Cyber-Kriminelle nutzen das aus und greifen über die Mitarbeiter an." Wer IT-Sicherheit ganzheitlich denke, könne daher nicht allein auf technische Lösungen setzen, sondern sollte seine Angestellten zum integralen Teil des Sicherheitskonzeptes machen.

Viele Mittelständler nutzen diese Chance aber nach Aussage von Schran nicht. Gerade kleinere Unternehmen würden bei ihren Security-Awareness-Trainings nicht an umfassende Schulungen über einen längeren Zeitraum denken, sondern nur einmalige Veranstaltungen durchführen. Manche beschränkten sich sogar auf gelegentliche Info-Mails über aktuelle Bedrohungen oder Informationen im firmeneigenen Intranet. Dies sei aber weder zielführend noch nachhaltig.

Mit besseren Security-Awareness-Trainings könnten sich viele sicherheitsrelevante Vorfälle verhindern lassen.
Mit besseren Security-Awareness-Trainings könnten sich viele sicherheitsrelevante Vorfälle verhindern lassen.
Foto: G Data

Kosten gegenüberstellen

Schran empfiehlt den IT-Verantwortlichen deshalb, die Ausgaben für Security-Awareness-Trainings den Kosten eines mehrtätigen Betriebsausfalls auf Grund eines Cyber-Vorfalls gegenüberzustellen. "Gerade in der aktuellen Homeoffice-Situation ist eine gute Security Awareness wichtiger denn je", so der Experte. Mitarbeiterinnen und Mitarbeiter seien durch die Pandemie sowie durch Homeschooling und Vereinsamung derzeit einem besonderen Druck ausgesetzt. In diesen Situationen seien sie besonders anfällig für Social Engineering.

Immerhin führen laut der Studie bereits acht von zehn Unternehmen Security-Awareness-Maßnahmen für ihre Mitarbeiter durch. 87 Prozent der befragten Firmen erzielten damit auch positive Effekte wie zum Beispiel einen umsichtigeren Umgang mit den IT-Ressourcen. Trotzdem müsse man die Mitarbeiter weiter stärken, "damit sie auch in Stresssituationen die richtigen Entscheidungen treffen", so Schran. Im vergangenen Jahr hatte G Data bereits eine Phishing-Simulation entwickelt, mit der sich die Wirksamkeit der Schulungen überprüfen lässt.

Zur Startseite