Neue Mitarbeiter: Vom Sicherheitsrisiko zum Verfechter der betrieblichen Cyber-Sicherheitsstrategie

Miro Mitrovic gibt vier Tipps für Unternehmen beim Onboarding neuer Mitarbeiter zur Integration in die eigene Cyber-Verteidigung

[datensicherheit.de, 09.04.2025] Cyber-Bedrohungen entwickeln sich mit zunehmender Digitalisierung und Vernetzung rasant – mit den neuen Chancen erwachsen auch neue Risiken und die meisten Cyber-Angriffe haben vorrangig eine menschliche Komponente. Miro Mitrovic, „Area Vice President DACH“ bei Proofpoint, betont in seiner aktuellen Stellungnahme, dass sich rund 90 Prozent der Cyber-Angriffe auf menschliches Fehlverhalten zurückführen lassen. Um dieser Herausforderung zu begegnen, müssten Unternehmen ihre neuen Mitarbeiter von Anfang an in ihre Sicherheitsstrategie einbinden. Ein effektives Onboarding-Programm für Cyber-Sicherheit sei entscheidend, um neue Kollegen in die Lage zu versetzen, verdächtige Aktivitäten zu erkennen und angemessen darauf zu reagieren. Mitrovic gibt hierzu nachfolgend vier Tipps, mit denen deutsche Unternehmen ihre neuen Mitarbeiter bereits beim Onboarding in ihre Cyber-Verteidigung integrieren können.

Foto: Proofpoint

Miro Mitrovic: Ein flexibles Security-Awareness-Programm, das regelmäßig aktualisiert wird, ist darum unerlässlich!

Klare Definition eines Cyber-Vorfalls erforderlich

Mitrovic führt aus: „Ein wesentlicher Bestandteil jeder Einarbeitung sollte eine klare Definition dessen sein, was einen Cyber-Vorfall ausmacht – sei es eine ungewöhnliche Netzwerkaktivität, ein unbefugter Zugriffsversuch oder eine Phishing-Mail.“ Neue Mitarbeiter sollten ermutigt werden, verdächtige Aktivitäten sofort über die offiziellen Kanäle zu melden, damit das Sicherheitsteam schnell handeln kann. „Eine offene Kommunikationskultur, gepaart mit klaren Richtlinien, sorgt dafür, dass potenzielle Bedrohungen frühzeitig erkannt und entschärft werden.“

Cyber-Sicherheit sei keine exklusive Aufgabe der IT-Abteilung, sondern eine gemeinsame Verantwortung der gesamten Belegschaft. „Mit einem durchdachten Onboarding-Programm können Unternehmen nicht nur die Sicherheit ihrer Systeme verbessern, sondern auch eine nachhaltige Sicherheitskultur etablieren“, betont Mitrovic. Indem neue Mitarbeiter von Anfang an in die Sicherheitsstrategie eingebunden werden, könnten sie einen wertvollen Beitrag zum Schutz des Unternehmens leisten. Zu diesem Zweck gelte es die folgenden vier Tipps zu beachten:

1. Cyber-Sicherheitstipp: Kennwortsicherheit – die erste Verteidigungslinie stärken

Die Wahl eines sicheren Passworts sei eine der einfachsten und zugleich wirksamsten Maßnahmen, um unberechtigten Zugriff auf Unternehmenssysteme zu verhindern. Neue Mitarbeiter sollten lernen, einzigartige und komplexe Passwörter zu erstellen, die aus einer Kombination von Zahlen, Buchstaben und Sonderzeichen bestehen.

• Ergänzend sollte die Multi-Faktor-Authentifizierung (MFA) verpflichtend eingeführt werden, um eine zusätzliche Sicherheitsebene zu schaffen.

„Eine fundierte Einführung in das Thema Passwortsicherheit vermittelt nicht nur die technischen Grundlagen, sondern schärft auch das Bewusstsein dafür, dass jeder Einzelne aktiv zur Abwehr von Cyber-Bedrohungen beitragen kann.“

2. Cyber-Sicherheitstipp: Phishing und E-Mail-Betrug – Taktiken der Cyber-Kriminellen erkennen

Phishing-Angriffe gehörten zu den häufigsten Methoden Cyber-Krimineller, um an sensible Informationen zu gelangen. „Ob durch gefälschte E-Mails, SMS oder Anrufe – die Angreifer setzen auf psychologische Tricks, um Vertrauen zu schaffen und Mitarbeitende zur Preisgabe vertraulicher Daten zu bewegen.“

• Neue Kollegen sollten lernen, typische Warnsignale wie unerwartete Aufforderungen, verdächtige Links oder ein ungewöhnliches Branding zu erkennen.

Wichtig sei auch die Aufklärung über „Business Email Compromise“ (BEC) – eine raffinierte Methode, bei der sich Angreifer als Vorgesetzte oder Kollegen ausgeben. Grundsätzlich gilt laut Mitrovic: „Verdächtige Anfragen müssen immer persönlich über offizielle Kanäle bestätigt werden, bevor gehandelt wird!“

3. Cyber-Sicherheitstipp: Datenschutz und Gerätesicherheit – Schutz vertraulicher Daten

Der Schutz sensibler Unternehmensdaten beginne mit dem richtigen Umgang und der Sicherung von Geräten. Neue Mitarbeiter sollten umfassend über die Datenschutzrichtlinien des Unternehmens informiert werden.

• Dazu gehöre auch die Aufforderung, nur von der Organisation genehmigte Software zu verwenden, Geräte bei Nichtbenutzung zu sperren und verlorene oder gestohlene Geräte unverzüglich der IT-Abteilung zu melden.

Darüber hinaus sollten die Benutzer in sicherem Online-Verhalten geschult werden, beispielsweise öffentliche WLAN-Netzwerke zu meiden und Website-Adressen auf Sicherheitsmerkmale wie „https://“ und das Schlosssymbol hin zu überprüfen. „Diese einfachen Schritte tragen wesentlich dazu bei, die Angriffsfläche des Unternehmens zu minimieren.“

4. Cyber-Sicherheitstipp: Neu entwickelte Bedrohungen – Vorbereitungen auf das Unbekannte

Cyber-Kriminelle setzten zunehmend auf ausgeklügelte Taktiken wie KI-gestützte Angriffe, sogenannte Deepfakes und die Manipulation von Kollaborationstools wie „Teams“ oder „Slack“.

• Neue Mitarbeiter müssten für diese dynamischen Bedrohungen sensibilisiert werden und lernen, sich gegen täuschend echte Angriffe zu wappnen.

„Ein flexibles Security-Awareness-Programm, das regelmäßig aktualisiert wird, ist darum unerlässlich“, unterstreicht Mitrovic abschließend. Denn nur so könnten Unternehmen sicherstellen, dass ihre Mitarbeiter auf die neuesten Angriffsmethoden vorbereitet sind und schnell angemessen reagieren können.

Weitere Informationen zum Thema:

datensicherheit.de, 14.02.2025
Datenschutz-Schulungen: Ein Drittel der Unternehmen versäumt es, Mitarbeitern Aktualisierungen anzubieten / Zwar 87 Prozent der Unternehmen ihren Mitarbeitern Datenschutz-Schulungen an, aber nur 68 Prozent aktualisieren diese Materialien regelmäßig

datensicherheit.de, 09.12.2024
Mitarbeiterverhalten: CyberArk-Studie 2024 deckt Sicherheitsrisiken auf / Sicherheitsteams sollten Anwendung von Identity-Security-Kontrollen neu überdenken

datensicherheit.de, 18.05.2024
Cyber-Angriff mittels Deepfake-Phishing: Mitarbeiter sensibilisieren, CEO-Imitationen zu erkennen! / Anrufe und Textnachrichten sowie mindestens eine Sprachnachricht mit einer per Deepfake-Technologie gefälschten Stimme des CEO

datensicherheit.de, 26.11.2023
IT – Interner Täter: Mitarbeiter noch größere Gefahr als Hacker / In den vergangenen zwei Jahren mehr als ein Drittel aller Cyber-Sicherheitsvorfälle in Deutschland auf Fehlverhalten von Mitarbeitern zurückzuführen

datensicherheit.de, 04.04.2023
Selbstüberschätzung: Mitarbeiter gefährden Cyber-Sicherheit in Unternehmen / Mehr als die Hälfte der Erwachsenen in Deutschland der Meinung, überdurchschnittliche Kenntnisse in Sachen Cyber-Sicherheit zu besitzen