Über den Safer Internet Day hinaus: Thema Sicherheit im Alltag verankern

Erich Kron rät dringend, häufige und konsequente Schulungen zum Sicherheitsbewusstsein durchzuführen

[datensicherheit.de, 08.01.2022] Cyber-Angriffe breiten sich offensichtlich immer weiter aus und verursachen Chaos in Unternehmen, die versuchen, mit dem Schutz ihrer Systeme, Netzwerke und Infrastruktur Schritt zu halten. Mitarbeiter gelten dann zumeist als die sogenannte letzte Verteidigungslinie, wenn es um den Schutz von Unternehmen geht, denn bekanntermaßen kann ein falscher Klick auf einen Link oder das Herunterladen eines bösartigen Anhangs im schlimmsten Fall das gesamte Unternehmen zu Fall bringen. Erich Kron, „Security Awareness Advocate“ bei KnowBe4, geht in seiner Stellungnahme nachfolgend auf die besten Möglichkeiten für Unternehmen ein, Mitarbeiter für die Abwehr von Cyber-Angriffen zu schulen.

Foto: KnowBe4

Erich Kron: Thema Sicherheit in den täglichen Gewohnheiten der Mitarbeiter verankern!

Häufige und konsequente Schulungen zum Sicherheitsbewusstsein durchführen!

Krons Rat: „Sicherheitsexperten in Unternehmen schulen ihre Mitarbeiter am besten darin, nach Cyber-Angriffen Ausschau zu halten, indem sie häufige und konsequente Schulungen zum Sicherheitsbewusstsein durchführen.“
Wenn die Unternehmen ihren Mitarbeitern simulierte Phishing-Angriffe sendeten, dann verstünden diese, wie ein echter Cyber-Angriff aussehen könnte.
So könnten sie diese Fähigkeit auf eine Weise üben, „die für das Unternehmen kein Risiko darstellt“. Eine geeignete Meldestruktur für Mitarbeiter, welche verdächtige Phishing-E-Mails, Vishing-Anrufe oder andere Arten von Angriffen melden, sei ebenfalls entscheidend für die Sicherheit eines Unternehmens.

Vorbereitet sein, dass Mitarbeiter im Home-Office schlechte Sicherheitspraktiken anwenden!

Die Herausforderungen bei der Abwehr von Cyber-Angriffen seien durch die Popularität der Fernarbeit im Zuge der „COVID-19-Pandemie“ erheblich gestiegen. Aus diesem Grund sei die Kommunikation zwischen Unternehmen und Mitarbeitern von größter Bedeutung. „In einer klaren Kommunikation sollte dargelegt werden, welche Erwartungen an die Mitarbeiter gestellt werden, die zu einer Remote-Arbeitsstruktur übergegangen sind, und wie diese logistisch funktionieren wird“, betont Kron.
Es könne vorkommen, dass Mitarbeiter bei der Fernarbeit schlechte Sicherheitspraktiken anwendeten. „Beispielsweise nutzen sie ihre Geräte gemeinsam, haben Unternehmensdaten auf persönlichen Geräten, sperren ihren Computer nicht, wenn sie ihn unbeaufsichtigt lassen oder nutzen Unternehmensgeräte für private Zwecke“, erläutert Kron. Diese Arten von Problemen würden oft übersehen werden. Abgesehen von der Technologie könnten auch physische Aufzeichnungen und „Assets“ den Weg in die Wohnungen der Mitarbeiter gefunden haben.
Es sei auch schwierig festzustellen, „ob sensible Informationen ausgedruckt und gesichert oder sicher entsorgt wurden“. Aus technologischer Sicht sei es ratsam, die Unternehmensgeräte, die über einen längeren Zeitraum nicht mit dem Unternehmensnetz verbunden waren, „auf ihre ,Hygiene‘ zu überprüfen und sicherzustellen, dass sie gepatcht sind und keine unerwünschten oder bösartigen Anwendungen enthalten“.

Konsequenter Aufbau einer Sicherheitskultur!

„Es ist entscheidend, dass die Richtlinien einer Organisation den Mitarbeitern klar vermittelt und auf leicht verständliche Weise wiederholt und verstärkt werden.“ Eine einmalige Schulung zu einem beliebigen Aspekt, sei es Sicherheit, Umstellung auf Fernarbeit oder neue Verfahren, reiche indes nicht aus. Vielmehr sollten Unternehmen dies weniger als Schulung, sondern vielmehr als eine Art interne Marketingmaßnahme betrachten, „bei der kleine, leicht verdauliche Botschaften über einen längeren Zeitraum hinweg über verschiedene Kommunikationskanäle vermittelt werden“.
Kron führt aus: „Eine starke Sicherheitskultur entsteht, wenn die Mitarbeiter verstehen, warum Sicherheit wichtig ist, und wenn sie über die Mittel und die Ausbildung verfügen, um ihre Aufgaben auf sichere Weise zu erledigen.“
Das Thema Sicherheit sollte in den täglichen Gewohnheiten der Mitarbeiter verankert sein und durch Botschaften von Führungskräften innerhalb des Unternehmens verstärkt werden. „Nur dann kann am ,Safer Internet Day‘ – und an jedem anderen Tag des Jahres – mit dem nötigen Maß an Sicherheit gearbeitet werden“, so Kron abschließend.

Weitere Informationen zum Thema:

datensicherheit.de, 14.09.2020
Mitarbeiter-Zugriff: 45% nutzen Privatgeräte für Unternehmensdaten / Studie von Trend Micro: Über 13.000 Remote-Mitarbeiter in 27 Ländern befragt

datensicherheit.de, 09.09.2020
kaspersky-Training zeigt: Mitarbeiter überschätzen eigene IT-Kenntnisse / Mitarbeiter machen 90 Prozent der Fehler – aber in der Überzeugung, das Richtige zu tun

datensicherheit.de, 01.09.2020
Mitarbeitergeräte: Tickende Zeitbomben nach dem Home-Office / Wechsel vieler Mitarbeiter in das Home-Office zu Beginn der „Corona“-Kontaktbeschränkungen oft überhastet