Cybersecurity

Wie kann das Sicherheitsverhalten von Mitarbeitern effektiv verbessert werden?

| Autor / Redakteur: Emmanuel Schalit / Redaktion IoT

Cybersecurity-Training sollte in Unternehmen hoch priorisiert werden.
Cybersecurity-Training sollte in Unternehmen hoch priorisiert werden. (www.pexels.com)

Die IT Sicherheit eines Unternehmens hängt auch stark von der Sensibilisierung der Mitarbeiter für dieses Thema ab. Nicht nur unsichere Passwörter stellen dabei eine ernst zu nehmende Gefahr dar.

Laut dem Insider Threat 2018 Report, der durch Dashlane in Auftrag gegeben wurde, stellt die größte Gefahr für die Sicherheit von Unternehmen die versehentliche Preisgabe von Daten durch eigene Mitarbeiter dar. Das höchste Gefahrenpotential resultiert demnach am häufigsten aus Phishing-Versuchen (67 Prozent), schwachen bzw. mehrfach verwendeten Passwörtern (56 Prozent) sowie schlechten Gewohnheiten beim Teilen von Passwörtern (44 Prozent).

Darüber hinaus wurden laut eines Datensicherheitsberichtes von Verizon bei 81 Prozent der erfolgreichen Hackerangriffe gestohlene und / oder schwache Passwörter verwendet, während 98 Prozent aller sozialen Angriffe auf Phishing zurückzuführen sind. Diesen Trends kann mit entsprechenden Cybersecurity-Trainings effektiv entgegengearbeitet werden.

Mitarbeiter sensibilisieren

Ein bekanntes Sprichwort sagt: „Gib einem Menschen einen Fisch und du ernährst ihn für einen Tag. Lehre einen Menschen zu fischen und du ernährst ihn für sein Leben.“ Das Gleiche trifft auch auf Cybersecurity-Trainings zu. Denn diese sind nur von vorübergehender Wirksamkeit, wenn Mitarbeitern Verhaltensvorschriften auferlegt werden, ohne ihnen den dahinterliegenden tieferen Sinn nahezubringen.

IT-Sicherheit muss demnach nicht nur Thema in vereinzelten Seminaren sein, sondern vielmehr einen ganzheitlichen Ansatz bilden, der die Unternehmenskultur grundlegend prägt. Unternehmen – egal, ob in einem Start-up oder Großkonzern – sollten Sicherheitsfördernde Maßnahmen dauerhaft in ihr berufliches Tun integrieren, indem der Standpunkt und das Verhalten der Mitarbeiter in Bezug auf Datensicherheit langfristig beeinflusst wird.

Die Schulungen zur Sensibilisierung im Bereich der Cybersecurity bei Mitarbeitern sollten deshalb unter eine der beiden Kategorien fallen:

Kategorie 1: Methoden erarbeiten, durch die Mitarbeiter in ihrem Verhalten Probleme bzw. Risiken für die Cybersicherheit frühzeitig identifizieren sowie verstehen können.

Kategorie 2: Verfahren einführen, die den Mitarbeitern langfristige Lösungen aufzeigen, um ihr Wissen im Bereich Cybersicherheit zu erweitern und ihr Verhalten daran anzupassen.

Um das Verständnis der Mitarbeiter für Cybersicherheit langfristig zu verbessern, sollte es Antworten auf die Fragen Warum?, Wie? und Was?  geben.

    • Warum ist Cybersicherheit so wichtig?
    • Wie greifen Cyberkriminelle Unternehmen an und wie können Mitarbeiter dem vorbeugen?
    • Was können Mitarbeiter tun, um Datensicherheit in ihrem Arbeitsalltag zu einer Priorität zu machen?

Es gibt viele Gründe für einen leichtfertigen Umgang mit Passwörtern und sensiblen Daten am Arbeitsplatz. Dies liegt meist entweder daran, dass Mitarbeitern die Motivation fehlt, Cybersecurity als Priorität anzuerkennen oder dass sie nicht über ausreichendes Wissen verfügen, um das Thema als persönlich relevant einzustufen. Daher ist es umso bedeutender, die komplex erscheinende Herausforderung der Cybersecurity für die Mitarbeiter in einen Kontext zu bringen, indem ihre Tragweite verständlich erklärt und konkrete Beispiele für einfache Verhaltensänderungen am Arbeitsplatz benannt werden.

Tests und Audits zur Identifikation von Sicherheitslücken

Um Sicherheitslücken im eigenen Unternehmen bestmöglich erfassen und somit auch an die Mitarbeiter spiegeln zu können, bietet sich die interne Durchführung von Tests und Audits an. Gerade Mitarbeiter-Accounts stellen eine große Angriffsfläche für Phishing-Attacken dar. Ziel dieser digitalen Attacken ist meist das Abgreifen von Passwörtern und Nutzerdaten. Um insbesondere in Sachen „Business E-Mail Compromise“ und klassischen Phishing-Attacken die Wachsamkeit der Mitarbeiter zu überprüfen, gibt es verschiedene Phishing-Tests wie PhishMe oder KnowBe4. Diese bewerten die Anfälligkeit einzelner Mitarbeiter gegenüber Betrüger-E-Mails und zeigen die allgemeine Sicherheitsperformance des Unternehmens auf.

Sicherheitsaudits bieten ähnliche Vorteile wie Phishing-Tests, allerdings in einem größeren Umfang. Sie können die risikoreichen Achillessehnen des IT-Systems identifizieren und die Unternehmensabwehr verbessern. Schulungsbedürftigen Mitarbeitern können mithilfe der Ergebnisse die Gefahren anschaulich erläutert werden. Zudem wird eine Grundlage für zukünftige Audits zur Verbesserungsmessung geschaffen.

Unabhängig von Tests und Audits gibt es auch informellere Wege, um Mitarbeiter über Cybersecurity aufzuklären. Neben Impulsvorträgen mit motivierenden Ratschlägen und konkreten Verhaltenstipps, kann die Wachsamkeit jedes einzelnen auch durch die detaillierte Schilderung eines Notszenarios gesteigert werden. Wie knackt ein Hacker ein schwaches Passwort? Welche sensiblen Unternehmensdaten kann er damit stehlen? Was könnten die wirtschaftlichen Folgen für das Unternehmen sein und wie wirkt sich dies ggf. auf die Mitarbeiter aus? Generell ist zu empfehlen, das Thema Cybersecurity für die Mitarbeiter greifbar aufzuarbeiten.

Mitarbeitern Lösungen bereitstellen

Um eine Unternehmenskultur zu etablieren, in der Sicherheit priorisiert wird, sind langfristige Maßnahmen zur Weiterbildung und Unterstützung der Mitarbeiter gefragt. Diese Maßnahmen können sich ganz unterschiedlich gestalten.

A) Fortlaufende Sicherheitstrainings und Kommunikation

Die oben erläuterten Methoden der Phishing-Tests und Sicherheitsaudits helfen nicht nur dabei herauszustellen, welche Mitarbeiter einen besonders hohen Verbesserungsbedarf in ihrem Sicherheitsverhalten haben. Sie sind vor allem langfristig aufschlussreich. Von Phishing-Test zu Phishing-Test können Mitarbeiter ihren persönlichen sowie den allgemeinen Security-Fortschritt einsehen. Durch ein Audit oder Sicherheitslückentest können Unternehmen somit feststellen, wo die Schulungen Früchte tragen und wo ggf. noch weitere Sensibilisierung und Weiterbildung notwendig sind.

Zudem unterstützen regelmäßige Sicherheits-E-Mails, in denen die neusten Tricks und Methoden von Hackern erläutert werden, bei einem sicheren Tagesgeschäft. Diese E-Mails können monatlich oder bei konkretem Bedarf verschickt werden, z. B. wenn aktuell ein bestimmter Phishing-Trick in der Umgebung des Unternehmens gehäuft vorkommt.

Darüber hinaus sollte das Thema Cybersecurity bereits fest in die Einarbeitungsphase neuer Mitarbeiter integriert werden. In einer kurzen Präsentation könnten beispielsweise die Risiken von Phishing-Mails sowie die Notwendigkeit sicherer Passwörter veranschaulicht werden.

B) Business-Passwort-Manager

Eine Passwort-Manager-Software ist die beste Möglichkeit, dafür zu sorgen, dass Mitarbeiter ihre schlechten Passwort-Gewohnheiten ablegen. Dazu gehören:

    • Die Mehrfachverwendung von Passwörtern: Viele Mitarbeiter nutzen für mehrere Online-Accounts dieselben Passwörter, auch bei privaten und geschäftlich sensiblen Konten gibt es Überschneidungen. Sollte also ein privates Konto gehackt werden, bedeutet dies auch automatisch ein hohes Sicherheitsrisiko für das Unternehmen.
    • Schwache Passwörter: Das Passwort 12345 ist äußerst leicht zu knacken, dennoch ist es eines der beliebtesten Kennwörter Deutschlands. Da das menschliche Gedächtnis nicht dafür konzipiert ist, sich lange, einzigartige Aneinanderreihungen von Zahlen, Buchstaben und Symbolen zu merken, wird häufig auf sehr simple Codes zurückgegriffen. Mit einem Passwort-Manager können komplexe Passwörter für jedes Konto erstellt werden. Somit wird das Risiko eines Hackerangriffs miniert. Und sollte dennoch ein Online-Account gehackt worden sein, ist es nicht möglich, das geknackte Passwort bei anderen Konten zu verwenden.
    • Speichern von Passwörtern: Passwörter in einem Notizbuch bzw. Word-Dokument zu vermerken oder in einem Browser zu speichern ist alles andere als sicher. Mit einem Passwort-Manager können Mitarbeiter alle Passwörter – privat und geschäftlich – an einem digitalen Ort verschlüsselt lagern und von unterwegs darauf zugreifen, ohne Sorge haben zu müssen, dass ein Dritter an diese sensiblen Daten gelangt.
    • Teilen von Passwörtern: Mitarbeiter teilen ihre Passwörter auf unzähligen Wegen mit ihren Kollegen, ungeachtet, dass dies ein hohes Risiko darstellt. Mit einem Passwort-Manager ist es möglich, Passwörter auf sichere Art zu teilen und nur bestimmten Mitarbeitern den Zugriff auf gewisse Konten zu gewähren.

Vergleicht man den finanziellen Schaden, den Datenmissbrauch aufgrund von ungenügender Passwortsicherheit erzeugt, mit den Kosten für einen professionellen Passwort-Manager, kann festgehalten werden: Prävention lohnt sich. Um sicherzugehen, dass Mitarbeiter den Passwort-Manager auch nutzen, sollte ein benutzerfreundliches Tool gewählt werden, das im gesamten Unternehmen zum Einsatz kommt.

C) Zwei-Faktor-Authentifizierung

Der Identitätsnachweis eines Nutzers mittels der Kombination zweier unterschiedlicher, unabhängiger Faktoren, wie z. B. die Kombination aus Fingerabdruck und Zahlenpin, stärkt die Sicherheit des Unternehmens. Zwei-Faktor-Authentifizierungen sind nur dann erfolgreich, wenn beide benötigten Faktoren zusammen eingesetzt werden und korrekt sind. Fehlt eine Komponente oder wird sie falsch verwendet, lässt sich die Zugriffsberechtigung nicht zweifelsfrei feststellen. Dadurch können sensible Daten vor Cyberkriminellen geschützt werden.

D) Sicherheit@Unternehmen.com

Durch das Etablieren von einem allgemeinen E-Mail-Alias können die geschulten Mitarbeiter verdächtige E-Mails unmittelbar weiterleiten und von einem Profi überprüfen lassen. Ein eingestellter Hinweis wie beispielsweise „[Extern] für Mails, die von außerhalb des eigenen Netzwerks verschickt wurden, lässt Mitarbeiter zudem erkennen, ob Nachrichten intern, vom Unternehmen, verschickt wurden oder Spam-E-Mails sind.

Verhaltensmuster langfristig anpassen

Bei all den geschilderten Methoden handelt es sich um Vorschläge, mit denen Unternehmen ihr Ziel erreichen können, die Mitarbeiter für das Thema Cybersecurity zu sensibilisieren. Diese Anwendungen können als Grundlage dienen, um Fragen nach dem Warum, Wie und Was zu beantworten, und somit zu kurz- und langfristigen Verbesserungen führen. Mitarbeiter müssen von Unternehmen so geschult werden, dass sie verstehen, welche Probleme sich aus ihrem derzeitigen Sicherheitsverhalten ergeben. Nur dann können Verhaltensmuster langfristig angepasst und optimiert werden. Denn letztendlich ist jedes Unternehmen nur so sicher, wie sein fahrlässigster Mitarbeiter.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 0 / Security)