Anselm Rohrer: Awareness für Cybergefahren schaffen

Auch die beste technische Ausstattung reicht in der heutigen Zeit nicht mehr aus, um die IT-Sicherheit eines Unternehmens zu gewährleisten. Im Gegenteil: Cyberkriminelle nutzen immer häufiger die „Schwachstelle Mensch“ aus, um zum Beispiel Passwörter zu erbeuten oder Zugriff auf sensible Daten zu erhalten.

In unserer aktuellen Ausgabe von „3 Fragen – 3 Antworten“ erklärt Anselm Rohrer, Leitung ISMS und Security Awareness, wie sich Unternehmen gegen diese Bedrohung schützen können.

Anselm, relevante Akteure im Bereich der IT-Security, etwa das Bundesamt für Sicherheit in der Informationstechnik (BSI) oder auch der Branchenverband BITKOM warnen bereits seit längerer Zeit vor dem Thema Social Engineering, also dem Ausnutzen menschlicher Schwächen. Wieso ist Security Awareness denn immer noch so ein unterschätztes Thema?

Allen Warnungen zum Trotz: Die größte Schwachstellen im Bereich der IT-Sicherheit ist nach wie vor der Mensch. Cyberkriminelle nutzen mehr denn je die Schwachstelle Mensch als vermeintlich schwächstes Glied der Sicherheitskette aus. Dies hat schlicht und ergreifend damit zu tun, dass immer mehr Arbeitsplätze digitalisiert werden. Seit die Corona-Pandemie Arbeitnehmer ins Homeoffice getrieben hat, ist die Zahl solcher Cyberattacken förmlich explodiert. Ein weiterer Faktor: Die Angriffe beschränken sich längst nicht mehr auf Mails in schlechtem Deutsch oder auffällige Verlinkungen. Cyberkriminelle agieren immer professioneller und entwickeln immer ausgefeiltere Möglichkeiten hierfür, Künstliche Intelligenz ist ein Stichwort.

Puh, das klingt bedrohlich. Was können Unternehmen konkret tun, um sich hiergegen zu schützen?

Generell gilt: Um erfolgreich ein Sicherheitsniveau zu etablieren, braucht es drei Säulen: Technik, Organisation und Awareness. Je mehr Freiheiten die Anwender zum Arbeiten benötigen, desto wichtiger ist es, dass diese mit den Freiheiten umgehen können, also sensibilisiert sind. Wenn wir von Awareness sprechen, meinen wir in der Regel, dass wir eine Verhaltensänderung bei einer Personengruppe hervorrufen möchten. Hierzu muss die Zielperson die Situation, in der sie sich vorsichtig verhalten soll, erst einmal erkennen. Sie benötigt also ein Bewusstsein für solche Situationen – Sie benötigt die Awareness. Und diese erreichen wir durch eine Sensibilisierung.

Dabei ist ein kontinuierliches Vorgehen notwendig. Singuläre Maßnahmen, wie „Wir machen einmal jährlich eine Schulung hierzu“ reichen nicht aus. Gleichzeitig aber sollte die Sensibilisierung die Zielgruppen möglichst wenig von ihrer normalen Arbeit abhalten. Denn in die Kosten, die entstehen, darf ich nicht nur das Geld einrechnen, was für die Umsetzung der Schulungsmaßnahmen anfällt, sondern auch die Arbeitszeit der Kollegen. Optimal sind entsprechend kompakte Einheiten, deren Inhalte in Schulungsvideos, Webinaren, interaktiven Übungen oder auch Kurztests mit einer Dauer von zwei bis vier Minuten transportiert werden. Diese sollten dann aber stetig, zum Beispiel alle vier Wochen, erfolgen. Digitale Awareness-Tools ermöglichen es, die notwendige Regelmäßigkeit herzustellen, etwa indem automatisiert Mitarbeiter auf neue Einheiten, die sie zu absolvieren haben, hingewiesen werden.

Das klingt alles schön und gut. Aber was passiert, wenn bei der nächsten Budgetverhandlung der Controller nach dem konkreten Output fragt: „Was hat es gekostet und was hat es eingebracht.“ Wie messe ich also Awareness ganz konkret?

Hierfür gibt es unterschiedliche Möglichkeiten: Generell lässt sich über täuschend echte Phishing-Simulationen die Angreifbarkeit des eigenen Unternehmens ermitteln und so erkennen, ob die Sensibilisierung tatsächlich greift. Selbstverständlich lässt sich auch nachvollziehen, ob einzelne Mitarbeiter alle Pflichtschulungen absolviert haben. Wir von Allgeier CyRis arbeiten ganz aktuell an einem Security-Index, welcher den Awareness-Grad aufzeigt und in Übereinstimmung mit Standards, wie der ISO 27001 die Messung der Ziele unterstützt. Generell gilt: Das Thema Security Awareness wird immer wichtiger – und hier müssen Unternehmen die Notwendigkeit erkennen, in die Awareness ihrer Mitarbeiter zu investieren.

Herkunft	Cookie	Typ	Beschreibung	Ablauf
Cookie Consent	mysign_cookiebanner	HTTP	Wird benötigt um die vom Nutzer ausgewählten Cookie Präferenzen zu speichern.	1 Jahr
Google	test_cookie	HTTP	Verwendet, um zu überprüfen, ob der Browser des Benutzers Cookies unterstützt.	1 Tag
www.allgeier-cyris.de	JSESSIONID	HTTP	Behält die Zustände des Benutzers bei allen Seitenanfragen bei.	Session

Herkunft	Cookie	Typ	Beschreibung	Ablauf
Google	_ga	HTTP	Registriert eine eindeutige ID, die verwendet wird, um statistische Daten dazu, wie der Besucher die Website nutzt, zu generieren.	2 Jahre
Google	_gat	HTTP	Wird von Google Analytics verwendet, um die Anforderungsrate einzuschränken	1 Tag
Google	_gid	HTTP	Registriert eine eindeutige ID, die verwendet wird, um statistische Daten dazu, wie der Besucher die Website nutzt, zu generieren.	1 Tag
LinkedIn	lang	HTTP	Speichert die vom Benutzer ausgewählte Sprachversion einer Webseite	Session

Herkunft	Cookie	Typ	Beschreibung	Ablauf
Google	_gcl_au	HTTP	Wird von Google AdSense zum Experimentieren mit Werbungseffizienz auf Webseiten verwendet, die ihre Dienste nutzen.	3 Monate
Google	pagead/landing	Pixel	Sammelt Daten zum Besucherverhalten auf mehreren Webseiten, um relevantere Werbung zu präsentieren - Dies ermöglicht es der Webseite auch, die Anzahl der Anzeige der gleichen Werbung zu begrenzen.	Session

Anselm Rohrer: Awareness für Cybergefahren schaffen

Informationen, wie Sie die Security Awareness in Ihrem Unternehmen erfolgsversprechend sicherstellen, finden Sie hier.

Privatsphäre-Einstellungen