Cyber Resilienz – wie Sicherheitsverantwortliche mehr Sicherheitsbewusstsein schaffen können
Sicherheitsverantwortliche kämpfen damit, dass naive Anwender wenig Ahnung von den Bedrohungen im Internet haben. Es muss gelingen, das Sicherheitsbewusstsein (Security Awareness) zu stärken, denn im Web lauern vielfältige Gefahren. Security Awareness ist damit ein wichtiger Bestandteil der digitalen Widerstandskraft (Cyber Resilienz) eines Unternehmens.
Ihre Mitarbeiter sind Ihre erste Verteidigungslinie gegen Angriffe auf die Cybersicherheit. Die Stärke Ihres Programms zur Förderung des Sicherheitsbewusstseins hängt von jedem Mitarbeiter in Ihrem Unternehmen ab.
Jeder ist immer und überall bedroht, wenn er sich im Internet bewegt. Das ist für Sicherheitsverantwortliche selbstverständlich, hat sich aber zu vielen Anwendern noch nicht herumgesprochen. Es kommt also darauf an, ein Problembewusstsein aufzubauen, oder auf Denglisch die Security Awareness zu wecken.
Security Awareness ist weit mehr, als die zehn verbreitetsten Passwörter zu vermeiden. Der Faktor Mensch ist viel wichtiger, denn die meisten Ransomware Attacken basieren mittlerweile auf Social Engineering und potenziell ist jeder Mitarbeiter durch Phishing & Co. gefährdet.
Faktor Mensch entscheidend
Unternehmen können noch so viel in technische Sicherheitsmaßnahmen investieren, der menschliche Faktor bleibt eine Schwachstelle, wenn er nicht regelmäßig trainiert wird. Social Engineering bleibt und wird weiter eingesetzt werden, nicht nur, weil es sehr effektiv ist, sondern auch, weil es der einfachste Weg für Cyberkriminelle ist, ihr Ziel zu erreichen.
Mitarbeiter müssen in einem Security Awareness-Training kontinuierlich und abwechslungsreich darauf hingewiesen werden, wie sie Social Engineering erkennen, egal, ob sie auf der Arbeit vor einem Computer sitzen, ob sie privat auf ihrem Mobilfunkgeräte unterwegs sind, auf Reisen oder aber im Home Office andere nicht autorisierte Geräte benutzen. Die Gefahr bleibt immer gleich, ein falscher Klick genügt den Angreifern, um sich Zugriff zu verschaffen und den Ball ins Rollen zu bringen.
Sie müssen dem Aufbau einer Kultur der Cybersicherheit und des Cyberbewusstseins Priorität einräumen. Dies erfordert ein kontinuierliches Engagement von jedem Manager, jeder Abteilung und jeder Person in Ihrem Unternehmen.
Darüber hinaus muss ein Verständnis dafür vorhanden sein, dass effektives Sicherheitsbewusstsein nicht aus zufälligen Schulungen oder einer einzigen vierteljährlichen E-Mail über Phishing besteht.
Erfolgreiche Security Awareness-Programme haben eines gemeinsam – die Unterstützung durch alle Abteilungen, Teams, Gruppen und Entscheidungsträger. Als Sicherheitsverantwortlicher müssen Sie dafür sorgen, dass sich alle für das Sicherheitsbewusstsein interessieren und engagieren, einschließlich der Geschäftsführung, der Personalabteilung, der IT-Abteilung und aller Teamleiter und Manager.
Menschen lernen durch Vorbilder und wenn sie sehen, dass andere im Unternehmen hinter Ihrem Security-Awareness-Programm stehen, werden sie das auch tun. Dieses Interesse und Engagement für das Sicherheitsbewusstsein müssen auf jeder Ebene und in jeder Abteilung vorhanden sein.
Vier Tipps
Befolgen Sie diese vier Tipps, wie Sie Unterstützung für ein Security-Awareness-Programm bekommen:
- Holen Sie sich die Unterstützung der Geschäftsführung. Security-Awareness-Schulungen setzen voraus, dass den Mitarbeitern erlaubt wird, Zeit für das Lernen aufzuwenden. Zeigen Sie der Geschäftsleitung und dem Managementteam, wie Cyberangriffe ablaufen und welche Auswirkungen Passwortdiebstahl, Informationspreisgabe und Ransomware-Infektionen haben können.
- Partnerschaften eingehen. Arbeiten Sie mit wichtigen Abteilungen wie der Personalabteilung, der Rechtsabteilung, der IT-Abteilung und den Managern zusammen, um ein Programm zum Sicherheitsbewusstsein zu entwickeln. Erklären Sie, wie es zu Cyber-Angriffen kommt und warum es wichtig ist, eine Kultur der Cybersicherheit aufzubauen. Nutzen Sie Mikro- oder Nano-Lernaktivitäten, um zu zeigen, dass es nicht viel Zeit pro Tag oder Woche braucht, um ein effektives Security Awareness Training durchzuführen.
- Kennen Sie Ihre Organisation. Sprechen Sie mit Mitarbeitern in jeder Abteilung und auf jeder Ebene. Achten Sie auf die Arbeitsgewohnheiten Ihrer Kollegen. Wissen Sie, wie die Mitarbeiter miteinander kommunizieren und Informationen austauschen? Informieren Sie sich über die Ziele, Anliegen und Kultur der verschiedenen Teams und Abteilungen in Ihrem Unternehmen. Bieten Sie eine Reihe von Trainings- und Programmstrategien zum Sicherheitsbewusstsein an, die auf die individuellen Bedürfnisse der Menschen, Interessen und Anliegen in Ihrer Organisation eingehen.
- Kommunizieren Sie. Hinter jedem erfolgreichen Security Awareness-Programm steht ein Team von Menschen. Kommunizieren Sie mit Managern, Führungskräften, Teamleitern und wichtigen Kollegen. Halten Sie sie über den Status des Schulungs- und Awareness-Programms auf dem Laufenden.
Vertrauen Sie auf kompetente Partner
Es ist wichtig, darauf hinzuweisen, dass Security Awareness Trainings ebenso wie technische Maßnahmen und Lösungen jeweils nur Bausteine sind, die zu dem größeren Gebäude einer echten Cyber Resilienz beitragen.
Axians hilft Ihnen in allen Aspekten der Cybersicherheit. Mit unserem neuen Security Operation Center ( SOC) helfen wir Ihnen, Bedrohungen rechtzeitig zu erkennen, in Sekundenschnelle rund um die Uhr zu reagieren und Gefahren abzuwehren. Das SOC in Basel vernetzt als Hub die mehr als 300 Cybersecurity-Spezialisten aus der Schweiz, Deutschland und weiteren europäischen Ländern und fokussiert sich auf die Sicherheit im Bereich Industrie 4.0.
Erfahren Sie zudem mehr über Security Awareness Trainings in unserem White Paper „Coachen Sie Ihre Human Firewall“. Hier geht es zum Download!
Quelle Titelbild: Adobe Stock / BillionPhotos.com
