zur Startseite zur Hauptnavigation zum Hauptinhalt zum Kontaktformular zum Suchformular
web AdobeStock 478358585
3 Fragen - 3 Antworten
Security Awareness

Anselm Rohrer: Awareness für Cybergefahren schaffen

26. April 2022 |  Allgeier CyRis

Auch die beste technische Ausstattung reicht in der heutigen Zeit nicht mehr aus, um die IT-Sicherheit eines Unternehmens zu gewährleisten. Im Gegenteil: Cyberkriminelle nutzen immer häufiger die „Schwachstelle Mensch“ aus, um zum Beispiel Passwörter zu erbeuten oder Zugriff auf sensible Daten zu erhalten.

In unserer aktuellen Ausgabe von „3 Fragen – 3 Antworten“ erklärt Anselm Rohrer, Leitung ISMS und Security Awareness, wie sich Unternehmen gegen diese Bedrohung schützen können.

Anselm Rohrer

Anselm, relevante Akteure im Bereich der IT-Security, etwa das Bundesamt für Sicherheit in der Informationstechnik (BSI) oder auch der Branchenverband BITKOM warnen bereits seit längerer Zeit vor dem Thema Social Engineering, also dem Ausnutzen menschlicher Schwächen. Wieso ist Security Awareness denn immer noch so ein unterschätztes Thema?

Allen Warnungen zum Trotz: Die größte Schwachstellen im Bereich der IT-Sicherheit ist nach wie vor der Mensch. Cyberkriminelle nutzen mehr denn je die Schwachstelle Mensch als vermeintlich schwächstes Glied der Sicherheitskette aus. Dies hat schlicht und ergreifend damit zu tun, dass immer mehr Arbeitsplätze digitalisiert werden. Seit die Corona-Pandemie Arbeitnehmer ins Homeoffice getrieben hat, ist die Zahl solcher Cyberattacken förmlich explodiert. Ein weiterer Faktor: Die Angriffe beschränken sich längst nicht mehr auf Mails in schlechtem Deutsch oder auffällige Verlinkungen. Cyberkriminelle agieren immer professioneller und entwickeln immer ausgefeiltere Möglichkeiten hierfür, Künstliche Intelligenz ist ein Stichwort.

 

Puh, das klingt bedrohlich. Was können Unternehmen konkret tun, um sich hiergegen zu schützen?

Generell gilt: Um erfolgreich ein Sicherheitsniveau zu etablieren, braucht es drei Säulen: Technik, Organisation und Awareness. Je mehr Freiheiten die Anwender zum Arbeiten benötigen, desto wichtiger ist es, dass diese mit den Freiheiten umgehen können, also sensibilisiert sind. Wenn wir von Awareness sprechen, meinen wir in der Regel, dass wir eine Verhaltensänderung bei einer Personengruppe hervorrufen möchten. Hierzu muss die Zielperson die Situation, in der sie sich vorsichtig verhalten soll, erst einmal erkennen. Sie benötigt also ein Bewusstsein für solche Situationen – Sie benötigt die Awareness. Und diese erreichen wir durch eine Sensibilisierung.

Dabei ist ein kontinuierliches Vorgehen notwendig. Singuläre Maßnahmen, wie „Wir machen einmal jährlich eine Schulung hierzu“ reichen nicht aus. Gleichzeitig aber sollte die Sensibilisierung die Zielgruppen möglichst wenig von ihrer normalen Arbeit abhalten. Denn in die Kosten, die entstehen, darf ich nicht nur das Geld einrechnen, was für die Umsetzung der Schulungsmaßnahmen anfällt, sondern auch die Arbeitszeit der Kollegen. Optimal sind entsprechend kompakte Einheiten, deren Inhalte in Schulungsvideos, Webinaren, interaktiven Übungen oder auch Kurztests mit einer Dauer von zwei bis vier Minuten transportiert werden. Diese sollten dann aber stetig, zum Beispiel alle vier Wochen, erfolgen. Digitale Awareness-Tools ermöglichen es, die notwendige Regelmäßigkeit herzustellen, etwa indem automatisiert Mitarbeiter auf neue Einheiten, die sie zu absolvieren haben, hingewiesen werden.

Das klingt alles schön und gut. Aber was passiert, wenn bei der nächsten Budgetverhandlung der Controller nach dem konkreten Output fragt: „Was hat es gekostet und was hat es eingebracht.“ Wie messe ich also Awareness ganz konkret?

Hierfür gibt es unterschiedliche Möglichkeiten: Generell lässt sich über täuschend echte Phishing-Simulationen die Angreifbarkeit des eigenen Unternehmens ermitteln und so erkennen, ob die Sensibilisierung tatsächlich greift. Selbstverständlich lässt sich auch nachvollziehen, ob einzelne Mitarbeiter alle Pflichtschulungen absolviert haben. Wir von Allgeier CyRis arbeiten ganz aktuell an einem Security-Index, welcher den Awareness-Grad aufzeigt und in Übereinstimmung mit Standards, wie der ISO 27001 die Messung der Ziele unterstützt. Generell gilt: Das Thema Security Awareness wird immer wichtiger – und hier müssen Unternehmen die Notwendigkeit erkennen, in die Awareness ihrer Mitarbeiter zu investieren.

 

Informationen, wie Sie die Security Awareness in Ihrem Unternehmen erfolgsversprechend sicherstellen, finden Sie hier.

Artikel teilen: