Mitarbeiterschulungen stärken die IT-Sicherheit
3. März 2020Qualifizierte Mitarbeiter sind der beste Schutz vor Sabotage, Datendiebstahl oder Spionage. Zusätzlich zu den bekannten Tools sind es die Arbeitsweisen der einzelnen Mitarbeiter und deren Berechtigungen, die es im Unternehmen zu optimieren gilt. Dabei spielt das Thema Security Awareness eine große Rolle.
Wenn es künftig um den Schutz vor Sabotage, Datendiebstahl oder Spionage geht, braucht es vor allem qualifizierte IT-Sicherheitsspezialisten. In dieser Einschätzung sind sich die deutschen Unternehmen einig – so zumindest lautet das Ergebnis einer Studie des Digitalverbands Bitkom, für die mehr als 1.000 Geschäftsführer und Sicherheitsverantwortliche quer durch alle Branchen repräsentativ befragt wurden.
Doch nicht nur die Experten spielen eine wichtige Rolle: „Das Know-how der eigenen Mitarbeiter entscheidet über das Sicherheitsniveau der Unternehmen“, sagt Bitkom-Präsidiumsmitglied Ralf Wintergerst. „Beim Thema IT-Sicherheit macht sich der Fachkräftemangel besonders stark bemerkbar. Umso wichtiger ist es, in Weiterbildung und Schulungen zu investieren. Wer hier spart, ist leichter verwundbar.“
Die Aussage aus den Reihen des Bundeskriminalamts (BKA) verdeutlich zudem die generelle Bedrohungslage: „Cybercrime ist ein Massenphänomen, das nicht nur Privatpersonen, sondern auch die Wirtschaft immer stärker trifft“, sagte Peter Henzler, Vizepräsident des deutschen BKA. Nach BKA-Einschätzung sind Unternehmen mit hoher technischer Expertise ein interessantes Ziel für Cyber-Spionage. Wie auch bei anderen Formen der Cyber-Kriminalität gehen die Experten von einer sehr hohen Dunkelziffer aus, da Angriffe entweder nicht erkannt oder aus Scham oder Angst vor Rufschädigung nicht angezeigt werden.
Emotet: die Gefahrenquelle „Nummer 1“
Eine der weltweit größten Cyber-Bedrohungen ist laut dem deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) Ransomware und dabei die Schadsoftware Emotet. Diese Schadprogramme schränken den Zugriff auf Daten und Systeme ein oder verhindern ihn gänzlich, die Angreifer versprechen nach Zahlung eines Lösegeldes die Ressourcen wieder freizugeben.
Das Schadenspotenzial ist immens: Die Kosten u.a. für Produktionsausfälle, Datenverlust, Bereinigung und Wiederherstellung der Systeme gehen zum Teil in die Millionen, Dienstleistungen von Einrichtungen des Gemeinwesens sind nicht oder nur eingeschränkt verfügbar. Ein Trend dabei ist der gezielte Angriff auf zentrale und als vertrauenswürdig einzustufende Dienstleister, über die dann deren Kunden oder angeschlossene Netzwerke mit Ransomware infiziert werden.
Die Auswirkungen durch Schadprogramme nehmen neben der klassischen Bürokommunikation auch in den Produktivbereichen der Wirtschaft weiter zu. Laufende Digitalisierung und zunehmende Vernetzung durch IoT und Industrie 4.0 vergrößern die Angriffsfläche, mögliche Schäden durch Schadprogramme werden potenziert.
Risikofaktor Mensch als Einfallstor
Verschärft wird die ohnehin angespannte Cyber-Sicherheitslage durch Unkenntnis und Sorglosigkeit der Anwender. Täter nutzen Schwächen des individuellen Sicherheitsverhaltens in Verbindung mit strukturell unzureichend gesicherten Produkten und Systemen gezielt aus. Abhilfe kann die konsequente Umsetzung von IT-Sicherheitsmaßnahmen nach dem aktuellen Stand der Technik sowie eine Stärkung der digitalen Eigenverantwortung jedes einzelnen Nutzers schaffen.
Für die Sensibilisierung der Mitarbeiter empfehlen sich regelmäßige Aktionen, um in diesem Kreis ein Bewusstsein zu erzeugen, wie gefährlich sich die verschiedenen Angriffsversuche auswirken. Dazu bieten IT-Sicherheitsexperten passen Security Awareness-Kampagnen an.
Security Awareness für die Mitarbeiter
Basierend auf den existierenden Richtlinien, den rechtlichen Vorgaben und den spezifischen Bedürfnissen eines Unternehmens gilt es für eine derartige Kampagne, ein detailliertes Security Awareness-Konzept zu definieren. Dabei soll das Sicherheitsbewusstsein der Mitarbeiter gesteigert und bei Bedarf eine Änderung des Benutzerverhaltens angestoßen werden.
Daraus abgeleitet sind dann die nötigen Maßnahmen durchzuführen. Dazu gehören Schulungen, aber auch eigene Phishing Kampagnen, um das Gefahrenbewusstsein sowie die Aufmerksamkeit aller im Unternehmen arbeitenden Personen zu erhöhen.
Managed Security Services als Ausweg
Speziell mittlere Unternehmen tun sich schwer, geeignete Manpower zu finden, um das Unternehmen gegen Angreifer abzusichern. Selbst wenn ein Mitarbeiter in einer Organisation allein für diesen Aufgabenbereich abgestellt ist, kann er kaum sein Wissen auf dem Stand der Technik halten.
Deswegen empfiehlt sich für dieses Klientel der Einsatz eines IT-Dienstleisters, der modulare Managed Security Services (MSS) liefert, um größtmögliche Informationssicherheit im Unternehmen nachhaltig zu garantieren. Zertifizierte Sicherheitsberater klären umfassend auf, welche technischen, organisatorischen und physischen Schwachstellen in dem jeweiligen Anwenderunternehmen vorliegen. Ein detaillierter Maßnahmenplan stellt sicher, dass die erkennbaren Sicherheitslücken geschlossen und die IT-Sicherheit dauerhaft erhöht werden kann. (rhh)