Wenn Sicherheitssysteme und Compliance-Regeln von Mitarbeitenden umgangen werden, kommt es fast zwangsläufig zu Zwischenfällen. Die meisten Schäden entstehen nicht durch automatisierte Angriffe auf das IT-Epizentrum eines Unternehmens, sondern durch eine mangelnde Sicherheitskultur. Dabei geht es allerdings um mehr, als bloßes kollektives Bewusstsein durch starre Verhaltens-Regeln zu schaffen. Was Mitarbeiter wirklich brauchen, ist eine "Kultur der Sicherheit".
Ein unternehmensübergreifendes Bewusstsein für IT-Sicherheit kann nur durch die Zusammenarbeit aller Personen in der Organisation gelingen.
Stellen Sie sich vor, Sie müssten als Arbeitgeber in Ihrem Unternehmen Tausende von Angestellten zum gemeinsamen Handeln bewegen – in Bruchteilen einer Sekunde. Ein Ding der Unmöglichkeit, wie es scheint. Aber unser Körper „lebt“ genau das vor – mit einer beeindruckenden Erfolgsquote. Etwa 86 Milliarden Neuronen müssen ununterbrochen zusammenarbeiten und miteinander kommunizieren, damit wir denken, fühlen und handeln können. Dies funktioniert nur unter einer Voraussetzung: Jede Zelle muss wissen, was sie genau machen soll und die Chemie zwischen allen muss wortwörtlich stimmen. Ist das nicht der Fall, kommt es zu Beeinträchtigungen und schlimmstenfalls zu größeren Ausfällen.
Beim Thema Security sollte dieser „Betriebsmodus“ zum Vorbild für Sicherheitskultur werden. Das Unternehmen bildet hier das zentrale Nervensystem, die Sicherheitskultur fungiert als Synapse und zugleich Verbindungsstelle zwischen den Nervenzellen. Jeder Mitarbeiter verkörpert eine hochspezialisierte Zelle, wovon selbst die kleinste zu einem funktionierenden „Abwehrsystem“ beiträgt.
Mit ein paar einfachen Maßnahmen können Sie sicherstellen, dass den Mitarbeitern ein angemessenes Verhalten im Netz und der korrekte Umgang mit Firmengeräten als Routine ins Blut übergehen.
Mit Wissen und Fingerspitzengefühl: So stoppt man eCrime ohne Technik
Das ist gar nicht so einfach, wie es vermeintlich klingt. In so manchem Unternehmen können Mitarbeiter immer noch eigenmächtig Anwendungen herunterladen und installieren. Schlimmer noch: Sie sind sogar in der Lage, Software-Updates und Aktualisierungen zu ignorieren. Vielleicht wissen sie gar nicht, dass sie dadurch Schaden anrichten können. Oder sie gehen schlicht davon aus, dass die IT-Abteilung sich um all diese Risiken und Probleme kümmert.
Die meisten Netzwerkadministratoren haben jedoch eigene Richtlinien erstellt, welche Einschränkungen und Freiheiten die Mitarbeiter im Umgang mit ihren Firmengeräten besitzen. Trotzdem kommt man nicht drumherum, alle Mitarbeiter von Anfang an über Gefahren und Risiken sowie deren Vermeidung aufzuklären. Stellen Sie sicher, dass jeder Mitarbeiter genau weiß, wie er IT-technisch sicher durch den hektischen Alltag kommt. Idealerweise entwickeln Anwender durch den geschickten Einsatz von Regeln und Verboten ein Gespür dafür, wann sich etwas „komisch“ anfühlt und eine potenzielle Gefahr darstellt. Genau dann sollte übrigens auch allen klar sein, wer zu benachrichtigen ist!
Weiterbildung über den Tellerrand hinaus: Nutzen Sie das Wissen der „hidden Champions“
Viele Unternehmen führen Schulungen durch, nicht immer in regelmäßigen Abständen, aber immerhin. Dennoch haben diese Maßnahmen oftmals nicht den gewünschten Erfolg. Und das, obwohl sich die IT-Abteilung alle Mühe gibt.
Vielleicht beruht das Erfolgsgeheimnis einer Security-Weiterbildung gar nicht in den Inhalten, die zumeist bei einem Folienvortrag oder in einem Webinar vermittelt werden. Möglicherweise fühlen sich die Mitarbeiter durch die Art des Frontalunterrichts an ihre Schulzeit erinnert – und diese weckt bei vielen keine guten Erinnerungen.
Daniel Chromek, Chief Information Security Officer bei ESET empfiehlt daher einen anderen Weg: „Der Schlüssel für eine cyberbewusste Unternehmenskultur liegt in der interessanten und mitreißenden Vermittlung von Security-Wissen.“ Je spannender, interaktiver und praxisnäher Schulungen durchgeführt werden, desto mehr Spaß haben die Firmenangehörigen – und verinnerlichen die Inhalte in fast spielerischer Art und Weise.
Selbstverständlich ist es definitiv ein guter Anfang, formelle IT-Sicherheitsschulungen im Unternehmen zu etablieren. Wenn Sie jedoch sicher sein wollen, dass Ihr Publikum Ihnen begeistert folgt, müssen Sie ein paar weitere Schritte unternehmen. Sie tun gut daran, auch Nicht-IT-Experten aus Ihrem Unternehmen mit einzubeziehen. Durch ihre andere Sichtweise der Thematik können sie Schulungen in ganz neue Bahnen lenken. Viele Mitarbeiter besitzen nämlich profunde Kenntnisse, die im eigentlichen Arbeitsfeld gar nicht zutage treten. Sprechen Sie Ihre Personalabteilung doch mal darauf an, ob es nicht beispielsweise studierte Pädagogen, Soziologen oder Fachkräfte im Bereich Psychologie gibt. Diese kennen sicherlich variantenreiche Wege, wie Technologie und soziale Interaktion das Verhalten oder die Einstellung von Personen im Sinne der Cybersecurity positiv beeinflussen.
Dies ist übrigens ganz besonders im Zusammenhang mit Social Engineering wichtig, das menschliche Verhaltensweisen, Angst und Zeitdruck ausnutzt und mit Erpressung arbeitet. Nur so werden Zusammenhänge der Persönlichkeit und des Verhaltens in puncto IT-Sicherheit erkennbar. Welcher Persönlichkeitstyp neigt bspw. dazu, auf Phishing-Links zu klicken? In unserem Whitepaper zum Thema „Cyberpsychologie – Der Faktor Mensch“ sind wir dieser Frage nachgegangen.
Aber zurück zum eigentlichen Thema: Auch Mitarbeiter der Grafikabteilung können durch moderne Visualisierungen komplexe Themen anschaulicher gestalten als Techniker mit spezifischen Ablaufdiagrammen. Vielleicht bitten Sie sogar Ihre Programmierer, Spiele-Apps zu entwickeln, die den Lernfortschritt mit Belohnungsaspekten bereichern. Fachleute sprechen hierbei von „Gamification“, also Lerninhalte spielerisch mit positiven Anreizen zu vermitteln.
Kurzum: Gemeinsam lernen und zusammen lehren fördert das Zusammengehörigkeitsgefühl und die Unternehmenskultur gleichermaßen.
Aus der Praxis für die Praxis: Lernen am „lebenden Objekt“
Viele Schulungen zeichnen sich durch eine Fülle an Informationen und Tipps aus. Oftmals gehen sie aber an der Praxis der Zuhörer vorbei. Es hat sich als gewinnbringend erwiesen, wenn sich Schulungen viel spezifischer an der Alltagspraxis des Mitarbeiters ausrichten. Das Darstellen von typischen Fehlern und was dann daraus resultiert, fördert das Verständnis. Wenn sich daran Tipps und Regeln anschließen, wie Fehler zu vermeiden sind, profitieren alle. Insbesondere „echte“ Beispiele (bspw. Phishing E-Mails, die in Ihrem Unternehmen eingegangen sind) eignen sich hervorragend, um Ihre Mitarbeiter weiterzubilden.
Von dieser Basis ausgehend lassen sich auch komplexere Security-Gefahren darstellen. Multimediale Animationen könnten zum Beispiel den Ablauf eines Ransomware-Angriffs aufzeigen. Und gleichzeitig bietet es sich an, die Hilfsmaßnahmen in jeder einzelnen Stufe der Attacke aufzuzeigen. Dieses „Spiel“ von Aktion und Reaktion fördert das Verständnis der Gefahr und hilft, zukünftig vorbereitet zu sein. Je mehr Mitarbeiter durch diese Methode sensibilisiert werden, desto schneller verankert sich das IT-Sicherheitsbewusstsein in der Unternehmenskultur.
Bleiben Sie auf dem Laufenden
Zu den zentralen Aufgaben von IT-Managern zählt, sich über Cybersicherheitsvorfälle auf dem Laufenden zu halten. Da sich Cyberangriffe ständig weiterentwickeln, sollten sie daher immer über alle aktuellen Vorkommnisse Bescheid wissen. Viele professionelle Administratoren starten ihren Arbeitstag mit dem Lesen einschlägiger Branchennachrichten und seriöser fachspezifischer Blogs, wie z.B. WeLiveSecurity von ESET. Dieser bietet regelmäßig aktuelle Informationen zu neuesten Cyberangriffen und gibt gleichzeitig Tipps zum Schutz davor.
Sollte es dort Meldungen geben, die für die Mitarbeiter in Ihrem Unternehmen relevant sein könnten, informieren Sie Ihre Kollegen per internem Newsletter oder Rundmails. Achten Sie jedoch darauf, vernünftig mit der Häufigkeit und Wichtigkeit dieser Nachrichten umzugehen. Anderenfalls könnte es passieren, dass Ihre Kollegen aufhören, die Nachrichten zu lesen.
Test the best: Das Security-Quiz für Ihre Mitarbeiter
Es gibt viele Möglichkeiten, wie Sie Ihre Mitarbeiter im Hinblick auf die IT-Sicherheit schulen können. Ein Quiz gehört zu den beliebtesten Methoden, die in keinem Konzept fehlen sollten. Zum einen macht es den Teilnehmern Spaß – erst recht, wenn es etwas zu gewinnen gibt. Ein freier Arbeitstag motiviert enorm, bestmöglich teilzunehmen. Zum anderen erhalten Sie wertvolle Informationen, ob der gewünschte Kenntnisstand erreicht ist oder doch noch Lücken vorhanden sind. Aufbauend auf diesen Erkenntnissen können Sie dann Ihr Fortbildungssystem feinjustieren.
Wir haben für Sie eine Auswahl an Beispielfragen für ein Quiz zusammengestellt. Selbstverständlich können Sie diese anpassen oder eigene Fragen hinzufügen.