Cybercrime ist ein Teil unseres Alltags geworden und stellt bei Unternehmen ein grosses Risiko für die IT-Sicherheit dar. Schulungen, um Mitarbeiter zu sensibilisieren und so Awareness zu schaffen, sind ein valables Mittel, um allfällige Angriffe abzuwehren.
Steigerung der Unternehmenssicherheit gegen Cybercrime
Cyberkriminelle entwickeln sich genauso wie Technologien immer weiter. Sie sind top informiert, nutzen neuste Methoden und Technologien für Ihre Angriffe und bringen Unternehmen und Privatpersonen regelmässig in gefährliche Situationen.
Als mögliches Einfallstor solcher Angriffe stellen Unternehmen nicht selten fest, dass vor allem ihre Mitarbeitenden ein potenzielles Risiko sind. Schulungen, um sie zu sensibilisieren und die nötige Awareness zu schaffen sind also ein valables Mittel, um die Unternehmenssicherheit zu steigern.
Digitalisierung fördert Online-Datenverfügbarkeit
Wenn wir davon ausgehen, dass immer mehr Menschen nicht nur real, sondern auch in der virtuellen Welt existieren und die Digitalisierung zunimmt, dann ist nicht verwunderlich, dass immer mehr Daten, mehr Applikationen und mehr interessantes Diebesgut für Cyberkriminelle zur Verfügung stehen. Mitarbeitende sind also grundsätzlich gewohnt, dass ihr Leben auch virtuell stattfindet. Um den Schutz der eigenen Daten und damit im Umkehrschluss auch jener der Unternehmung sind die Mitarbeitenden aber oftmals nicht sehr bemüht.
Phishing-Mails, DDos-Angriffe, etc.: Bedrohungen durch Cyberkriminelle in Zahlen
Der Blick in die Zahlen zeigt, dass sich der mittlere Schaden von Cyber-Attacken, als Beispiele seien hier Ransomware, DDoS-Angriffe, Spionage und Datenabfluss genannt, gemäss MELANI im letzten Jahr auf geschätzte 4,7 Millionen Dollar pro Opfer belief. Im Detail wird sichtbar, dass rund ein Drittel der Datendiebstähle durch Phishing-Mails verursacht wird – das heisst auch über die Mitarbeitenden eines Unternehmens.
An dieser Stelle mag sich der eine oder andere fragen, wie das denn sein kann: ist «man» sich heute denn nicht bewusst, dass «man» vorsichtig sein sollte und heikle Daten wie Kreditkarteninformationen, Bankdaten oder Passwörter nicht einfach per Mail versendet? Und dennoch zeigen auch hier die Zahlen ein klares Gegenbild: 2018 gingen 29 % der erfolgreichen Angriffe auf gestohlene Passwörter zurück. Es bleibt also die Frage im Raum, wie Unternehmen Ihre Mitarbeitenden sensibilisieren und schulen können, um Cyberkriminellen das Spiel schon vor dem Angriff zu vermiesen.
Lifecycle Cyber Security Strategie
Ein erster Schritt ist das Implementieren einer Cyber Security Strategie, für die klare Ziele und Prioritäten hinterlegt sind. Die Ziele und Prioritäten sind die Basis, um Bedrohungsszenarien zu erkennen und potentielle Schäden aus diesen ableiten zu können. Zudem wird festgehalten, welche Handlungsoptionen das Unternehmen hat und wahrnehmen möchte.
Dieser Prozess ist selbstredend nicht in Stein gemeisselt, sondern muss regelmässig überprüft werden. Wie eingangs erwähnt entwickeln sich Unternehmen weiter und im gleichen Mass tun es Cyberkriminelle. Nur durch regelmässiges Prüfen ist sichergestellt, dass Unternehmen agil und aktuell auf die Marktgegebenheiten und aktuellen Bedrohungen reagieren können.
Prevention – Detection – Intervention – Unternehmensmassnahmen
Die Cyber Security Strategie lässt sich in die Bausteine Prevention, Detection und Intervention unterteilen. In jeder der Phasen haben Unternehmen die Möglichkeit durch technische und organisatorische Massnahmen, Bereiche wie Applikationen, Services oder Daten abzusichern. Als Beispiele für technische Massnahmen kann das Implementieren von Systemen wie Firewall, Web Application Firewall WAF oder Identity and Access Management IAM genannt werden. Durch die Integration von Network Access Control haben Unternehmen zudem unter Kontrolle, wer wie auf das Netzwerk zugreift und schaffen damit Transparenz.
Beispiele für organisatorische Massnahmen sind die Einführung, Umsetzung und Anwendung stabiler Prozesse und Konzepte.
Und wie sensibilisieren Unternehmen die eigenen Mitarbeitenden?
Da Mitarbeitende die wichtigste Ressource eines Unternehmens sind, sollten diese im Rahmen einer Cyber Security Strategie ebenfalls hoch priorisiert werden. Ein Schritt, der einfach klingt, ist die Anstellung zusätzlicher IT-Mitarbeitende, die die Security-Themen unter Kontrolle behalten. Jedoch ist einerseits festzustellen, dass es nur eine begrenzt viele Kandidaten auf dem Arbeitsmarkt gibt. Und andererseits kann IT-Sicherheit leider nicht per se pro Mitarbeitenden gekauft oder «mit angestellt» werden. Vielmehr sind Unternehmen gefordert, ein Bewusstsein für Bedrohungen durch Cyberkriminelle zu schaffen, auszubauen und in die Kultur des Unternehmens zu verankern. Das IT-Sicherheitsbewusstsein der Mitarbeitenden kann, im Vergleich zu den technischen oder sonstigen organisatorischen Massnahmen, nicht von heute auf morgen geschaffen werden.
Wir Menschen sind nun mal gemacht durch Wiederholung zu lernen – dies zeigt auch die untenstehende Grafik:
Awareness schaffen – Sensibilisierung für nachhaltiges Sicherheitsbewusstsein
Es braucht eine regelmässige Weiterbildung der Mitarbeitenden, damit diese nicht nur das nötige Bewusstsein, die nötige Awareness, für Cybercrime haben, sondern auch wissen, welche Angriffsmethoden aktuell am Markt verwendet werden.
Konkret bedeutet die wiederkehrende Durchführung von Sensibilisierungsmassnahmen, dass:
- bei den Mitarbeitenden ein nachhaltiges Sicherheitsbewusstsein geschaffen und gesteigert wird,
- für das Unternehmen eine Sicherheitskultur entsteht,
- neue Angriffsmethoden den Mitarbeitenden vermittelt werden,
- neue Mitarbeitende effizient eingearbeitet werden können,
- Mitarbeitende durch simulierte Cyber-Angriffe schnell und richtig reagieren.
Auslagerung an einen Spezialisten bringt erhöhte IT-Sicherheit
Regelmässig zu schulen, die aktuellen Angriffsmethoden im Blick behalten und gleichzeitig noch das Kerngeschäft im Auge haben ist für Unternehmen kein leichter Spagat. Es kann daher Sinn machen, Awareness als Gesamtthema an einen Spezialisten auszulagern. Unternehmen profitieren von Experten Knowhow und der Garantie, dass die Durchführung der Awareness-Kampagne nicht im Alltag des Unternehmens untergeht, sondern effektiv und regelmässig umgesetzt wird.
Wie United Security Providers Sie im Thema Awareness und Mitarbeitersensibilisierung unterstützen kann erfahren Sie auf unserer Website.
Weitere Artikel auf Extremely Secure Blog
Die wichtigsten IT Security Events 2021
Cloud Security: Minimieren Sie die Risiken in der Cloud-Umgebung
Zero Trust – ein neuer Ansatz in der Informationssicherheit (Whitepaper)
Teresa Schmidt ist seit Juni 2017 als Marketing & Communications Specialist bei United Security Providers tätig.