So sensibilisieren Sie Ihre Mitarbeiter in Bezug auf Unternehmenssicherheit!

Das Corona-Virus bedeutet auch für die IT-Sicherheit der Unternehmen einen Härtetest. Denn die aktuelle Pandemie bietet Cyber-Kriminellen zahlreiche zusätzliche Angriffspunkte, um ins Firmennetzwerk einzudringen und sensible Daten abzugreifen. Im Visier steht dabei die größte Schwachstelle in der IT-Security: der Mensch.

Phishing- und Malwareangriffe sind im Laufe der Corona-Pandemie geradezu explodiert. Als Köder dienen manipulierte Webseiten mit Corona-Bezug oder gefälschte E-Mails, die aus scheinbar vertrauensvollen Quellen stammen, etwa vom IT-Support. Ein unbedachter Klick auf schadhafte Links oder verseuchte E-Mail-Anhänge – und schon sind die technischen Sicherheits-vorkehrungen ausgehebelt. Entscheidend ist es daher, die Mitarbeiter zeitnah für Cyber-Risiken zu sensibilisieren und zu schulen. Hierbei geht es vor allem um das Erkennen von gefälschten Nachrichten und potentiellen Angriffen.

Beispielsweise:

wenn Mitarbeiter im Home Office per Mail vom „IT-Sicherheitsteam“ dazu aufgefordert werden, ein neues Programm für die Telearbeit zu installieren oder Ihr Passwort auf einer Webseite einzugeben, um das neue Collaboration-Tool zu aktivieren.
oder wenn ein Popup-Fenster auf dem Bildschirm erscheint, das dazu auffordert, die Installation und Freigabe eines erforderlichen Remote-Tools zu akzeptieren.
Einen Boom erleben manipulierte Webseiten mit Neuigkeiten im Zusammenhang mit Corona. Sie täuschen vor, von einem seriösen Unternehmen betrieben zu werden. Manche verlangen, persönliche Daten zu hinterlegen.
Bei anderen wiederum reicht ein Klick, etwa auf die Weltkarte mit dem Verbreitungsgrad des Virus, damit Schadsoftware wie Verschlüsselungstrojaner auf den Rechner geschleust wird, oder in Webbrowsern gespeicherte Informationen wie Verlauf, Nutzername und Passwörter ausgespäht werden können.

Klare Regeln aufstellen und sensibilisieren!

Als Sofortmaßnahme sollten Sie Ihre Mitarbeiter über die akuten Bedrohungen informieren sowie, falls noch nicht geschehen, klare und verbindliche Verhaltensregeln zur IT-Sicherheit kommunizieren. Tun Sie dies am besten schriftlich in Form eines Merkzettels. Das Bestehen von Richtlinien allein sorgt jedoch noch nicht für Sicherheit. Es muss den Mitarbeitern auch klar sein, warum diese wichtig sind und wie man sie umsetzt. Gerade im Hinblick auf neue Bedrohungen ist es zudem wichtig zu vermitteln, welche Situationen Gefahren bergen und eine grundsätzliche Security Awareness aufzubauen.

Aufrütteln und Betroffenheit erzeugen

Einen nachhaltigen Effekt erzielen Sie, indem Sie Betroffenheit erzeugen. Zeigen Sie den Mitarbeitern: Die Gefahr lauert überall. Legen Sie dazu einen Köder aus, beispielsweise in Form einer Phishing-Testkampagne. Fällt ein Mitarbeiter auf den Köder herein und klickt auf den schadhaften Link, erhöht das in den meisten Fällen die Bereitschaft, das eigene Verhalten zu ändern. Zugleich gibt der Test Aufschluss darüber, wie es um die Awareness bestellt ist, und wo die größten Schwachstellen bestehen.

Sensibilisieren bedeutet überzeugen

Ein lehrreicher Schock rüttelt auf. Damit ist der erste Schritt erreicht. Eine nachhaltige Sensibilisierung der Mitarbeiter erfordert jedoch nachhaltige Überzeugungsarbeit. Denn Sicherheit bedeutet immer einen Zusatzaufwand – und sei es auch nur, bei der Arbeit am PC, Telefon oder Smartphone stetig ein gesundes Misstrauen an den Tag zu legen, um nicht unbedacht auf einen potentiellen Angriff hereinzufallen.

Security Awareness ist daher ein kontinuierlicher Prozess. Der Aufwand muss nicht groß sein. Ein erfolgreiches Training ist abwechslungsreich und einfach in den Arbeitsalltag integrierbar. Idealerweise kombiniert es passive Wissensvermittlung (z.B. Poster, Flyer, Beiträge in Newsletter, Videoclips im Intranet) und Mitmach-Aktionen (Gewinnspiele kurze Online-Tests). Achten Sie darauf, immer wieder Impulse zu setzen.

Tipps für das Privatleben einfließen lassen

Nehmen Sie sich nacheinander bestimmte Themen vor wie Passwortsicherheit oder Virenvorsorge. Bieten Sie einen Mehrwert: Zeigen Sie, dass die Sicherheitstipps auch beim Gebrauch des heimischen PC oder privaten Smartphones nützen. Damit erzeugen Sie einen zusätzlichen Anreiz, die Regeln zu befolgen und zu verinnerlichen.

Zentrale Security-Ansprechpartner

Richten Sie eine zentrale Stelle in Ihrem Unternehmen ein, an die Mitarbeiter IT-Sicherheitsvorfälle melden oder Fragen stellen können. Eine funktionierende Sicherheitskultur arbeitet nicht mit erhobenem Zeigefinger. Vielmehr lebt sie davon, dass die Mitarbeiter einen Ansprechpartner haben, der sie berät und Verständnis für ihre Anliegen hat. Ansonsten suchen viele sofort einen Workaround, um die Reglementierungen zu umgehen.

Kein Gießkannenprinzip

Statt Maßnahmen nach dem Gießkannenprinzip festzulegen, empfiehlt es sich, gemeinsam mit den einzelnen Fachbereichen oder Nutzergruppen Trainings zu überlegen und Ziele zu vereinbaren, die auf ihre Rolle und ihren Wissensbedarf zugeschnitten sind.

Maßnahmen überprüfen

Ein erfolgreiches Awareness-Programm verbindet Training mit Tests. Diese sollten monatlich, mindestens aber quartalsweise erfolgen. Nur so finden Antworten auf die Fragen:
Wie sind die bisherigen Maßnahmen angekommen?
An welchen Stellschrauben muss noch gedreht werden?

Veröffentlichen Sie die Ergebnisse, beispielsweise wie viele Mitarbeiter den Link in der Phishing-Mail angeklickt oder sensible Daten eingegeben haben. Je nach Ergebnis, motivieren die Zahlen. Oder sie verdeutlichen: Wir alle müssen besser aufpassen. Anschließend sollten Sie gemeinsam die nächsten Schritte überlegen.

Awareness Training

Ganz wichtig: Es geht nicht darum, Nutzer für unabsichtliche Fehler an den Pranger zu stellen. Die Botschaft lautet: Es ist kein Beinbruch, einen verseuchten Link anzuklicken. Aber es wäre schlimm, den Sicherheitsvorfall zu verschweigen, anstatt ihn sofort der IT-Abteilung zu melden. Wird das Awareness-Training einmal richtig aufgesetzt, können Unternehmen mit vergleichsweise geringen Investitionen einen deutlichen Sicherheitsgewinn erreichen.