Wirkungsvolle Sensibilisierung der Mitarbeiter

Die größte Schwachstelle innerhalb einer Organisation ist und bleibt der Mensch. Sorgen Sie dafür, dass Ihre Mitarbeiter hinsichtlich relevanter Bedrohungen und Risiken sensibilisiert sind und sich in kritischen Situationen richtig verhalten. Maßnahmen zur Steigerung der Security- und IT-Awareness tragen dazu bei, dass menschliche Schwachstellen nicht zu Schäden für das Unternehmen führen. Das Ausspähen von Daten und geschäftlicher Informationen kann über informationstechnische Systeme, persönliche Kontakte oder auch eine Kombination beider Aspekte erfolgen. Betriebswichtige Prozesse und Systeme sind an das Internet angebunden und ein Ausfall, eine Störung oder Manipulationen können gravierende Folgen für den Fortbestand des Unternehmens und darüber hinaus womöglich auch rechtliche Konsequenzen haben. Hohe Risiken liegen insbesondere im Social Engineering, also der gezielten Beeinflussung von Mitarbeitern, sowie in den immer professioneller agierenden Angreifern. Leichtfertiges Handeln, ein fahrlässiger Umgang mit Daten, gepaart mit einer nachlässigen Sicherheitsorganisation führt zum ungewollten Abfluss von Daten und zu direkten und indirekten Schäden.

Risiken aufzeigen und richtiges Verhalten trainieren

Die Szenarien, in denen Mitarbeiter durch falsches Handeln unbeabsichtigt Schäden verursachen, sind sehr inhomogen und indifferent. Häufig wird Awareness lediglich mit dem richtigen Umgang mit dem ans Internet angebundenen Firmencomputer in Verbindung gebracht. Gängige Szenarien bildet hier Schadsoftware, die sich als Makroviren in PDF- und Officedokumenten versteckt, als E-Mail-Anhang geöffnet oder beim Surfen im Word Wide Web unbemerkt heruntergeladen und ausgeführt wird (Drive-by-Download). Viren, Würmer und Trojaner verstecken sich aber auch auf von Mitarbeitern mitgebrachten Datenträgern, verteilen sich über das Netzwerk und nutzen Smartphones als Einfallstor (Stichwort: "BYOD - Bring Your Own Device"). Neben der Ausspähung von Daten, der Nutzung der Wirtssysteme als Angriffsplattform (z.B. für DDOS-Attacken) oder für andere illegale Aktivitäten (z.B. Identitätsdiebstahl) sorgt derartige Malware für massive Betriebsstörungen, z.B. durch die Verschlüsselung von Datenträgern (Ransomware/CryptoLocker). Aber auch an sich harmlose Scareware, die lediglich eine Infektion oder Bedrohung vortäuscht, kann zu finanziellen Schäden und Verunsicherung führen. Auch gezielte, persönlich formulierte und sehr authentisch wirkende Phishing-Mails, SMS und Anrufe mit gefälschten Absenderangaben (CEO-Fraud, etc.) haben in der Vergangenheit bereits zu gravierenden finanziellen Schäden für Unternehmen geführt. Security Awareness an sich setzt aber noch früher an und ist nicht nur hinsichtlich der IT relevant. Durch Sicherheitssysteme, die aus Gründen der Bequemlichkeit außer Betrieb gesetzt oder umgangen werden, durch eine unbekannte Personen, die unbehelligt zusammen mit den Kollegen den Sicherheitsbereich betritt oder aufschlussreiche Gespräche anregt, können Firmeninformationen einem Risiko ausgesetzt oder unbewusst preisgegeben werden. Aktivitäten der eigenen Mitarbeiter in den Sozialen Netzwerken, offen geführte Gespräche, herumliegende Akten oder das Arbeiten in öffentlichen Bereichen sind nur einige von zahlreichen weiteren relevanten Aspekten.

Awareness als fortwährender, dynamischer Prozess

Genauso wie sich Bedrohungen und Risikopotenziale wandeln, verändern sich auch die Mitarbeiter und deren Sensibilität. Awareness sollte demnach als fortlaufender Prozess verstanden werden, der sich aktuellen Gegebenheiten anpassen muss, um einen effizienten Schutz gewährleisten zu können. Analog zu dem aus dem Qualitätsmanagement (DIN EN ISO 9001) bekannten PDCA-Zyklus (Plan-Do-Check-Act) sollten Schulungsmaßnahmen zur Awareness wirksam geplant und umgesetzt, kontinuierlich verbessert, evaluiert und angepasst werden. Fichtel IT führt Awareness-Trainings auch als Einzelmaßnahmen (Kampagnen), bevorzugt aber im Rahmen einer fortlaufenden Awareness-Betreuung nach dem nebenstehend abgebildeten Schema durch. Die Awareness-Kampagne wird auf Ihr Unternehmen und seine relevanten Bedrohungen zurecht geschnitten. Im Rahmen von praxisbezogenen Trainings, eLearning-Maßnahmen, Online-Seminaren und Tests werden Ihre Beschäftigten hinsichtlich des sicherheitsbewussten Verhaltens geschult. Medien und Reminder (z.B. Sicherheitshinweise als Newsletter oder allgegenwärtig im Büro) runden die jeweils laufende Awareness-Kampagne ab und werden entsprechend aktueller Bedrohungen weiterentwickelt.