chatbox close button

Sie haben Fragen? Dann schreiben Sie uns jetzt im Facebook Messenger.

Um uns eine Nachricht zu schicken, möchten wir Sie auf die entsprechenden Datenschutzbestimmungen hinweisen. Bitte beachten Sie, dass die Nutzung & Verarbeitung Ihrer Daten über den Facebook-Dienst in Ihren eigenen Facebook-Einstellungen zu verwalten ist.

Teilen:

So schaffen Sie Awareness für IT-Sicherheit

Phishing-Mails, Malware und Co: Häufig öffnen Mitarbeiter Angreifern mittels Schadsoftware oder Social Engineering Tür und Tor. Mit Awareness-Trainings können Sie in Ihrem Unternehmen ein Bewusstsein für IT-Sicherheit schaffen.

Verschlüsselungs-Trojaner, Social Engineering, E-Mail-Spoofing – das sind nur einige Methoden, um ein Unternehmen auf moderne Art anzugreifen. Das große Gemeinsame: Sie alle nutzen die Unwissenheit und Gutgläubigkeit der Mitarbeiter in Ihrem Unternehmen.

Schadsoftware kommt somit meist durch einen Menschen, der eigentlich nur seinen Job machen möchte, in Ihre Firma. Eine vermeintlich vertrauenswürdige Anweisung per Mail, das Sichten von Bewerbungsunterlagen oder ein Anruf aus der „IT-Zentrale“ eines anderen Standorts, mit der Aufforderung, das Passwort zu ändern oder preiszugeben: Die Techniken der Angreifer können vielfältig sein.

Da Arbeitsumgebungen immer komplexer werden und Mitarbeiter immer mehr leisten müssen, ist jeder Angestellte ein leichtes Opfer solcher Fallen. Anfragen müssen schließlich schnell erledigt werden. Fatale Auswirkungen wie etwa der Zugang zum Firmennetzwerk für Hacker, Erpressungsversuche durch Krypto-Trojaner oder Überweisungen von Geldbeträge an Kriminelle, die man gutgläubig nach einer gefälschten E-Mail des Vorstands getätigt hat, stehen heutzutage an der Tagesordnung.
Die fehlende Awareness der Mitarbeiter hat meist einen einfachen Grund: In vielen KMUs haben die IT-Abteilung weder die Zeit, noch die nötigen Kenntnisse um Mitarbeiter auf Bedrohungen zu sensibilisieren und in diesem Bereich entsprechend zu schulen.

Außerdem denken Geschäftsführer von kleinen und mittelständischen Firmen oft, sie wären kein lohnendes Ziel für Angriffe dieser Art. Ein großer Irrtum! Da kleinere Unternehmen in den meisten Fällen sowohl technisch als auch organisatorisch schlechter vorbereitet sind als große Unternehmen, werden gerade sie gerne von Hackern angegriffen.

Um vor Cyber-Attacken geschützt zu sein, müssen Security-Awareness, IT-Sicherheit, Datenschutz und Betrugs-Prävention ein klarer Fokus innerhalb des Unternehmens werden!

So steigern Sie Security-Awareness in Ihrem Unternehmen

Ein Security-Awareness-Training ist ein Prozess zur Schulung aller Mitarbeiter über den Umgang mit Bedrohungen, die durch moderne Technik, aber auch durch falsches Verhalten beim Umgang mit Daten – auch auf Papier – entstehen können. Gute Trainings sollten alle Mitarbeiter nachhaltig darüber informieren, welche Sicherheitsrichtlinien und Vorgaben im Alltag mit modernen Kommunikationsmitteln und bei der Verarbeitung von Daten gelten. Es muss klar sein, wer im Falle einer – auch nur vermuteten – Bedrohung kontaktiert werden soll.
Daten stellen den wahrscheinlich wichtigsten Unternehmenswert dar. Ein Umstand, der allen Mitarbeitern deutlich vermittelt werden muss und regelmäßig Trainings erfordert.
Themen wie Mitarbeiter-Fluktuation, Praktikanten oder Leihmitarbeiter sollten dabei besonders ausführlich behandelt werden.
Außerdem sollte im Rahmen der Trainings darauf geachtet werden, dass das Schaffen von Security-Awareness nicht in jedem Unternehmen gleich ablaufen kann. Dabei ist nicht nur die Größe der Firma entscheidend, sondern vielmehr die individuellen Tätigkeiten der Mitarbeiter und das Risiko, das damit einhergeht. Awareness-Trainings und -Schulungen sollten spezifisch auf die Fachabteilungen und deren Mitarbeiter zugeschnitten sein.
Dabei kann auf eine Vielzahl von Möglichkeiten zurückgegriffen werden: Online-Schulungen, persönliche Trainings, sowie Tools wie Phishing-Simulationen und Online-Fragestellungen mit Spiele-Charakter – Stichwort: Gamification – können gut geplant und durchgeführt werden – auch mit Spaßfaktor. Freude beim Lernen sorgt dafür, dass Security-Themen längerfristig in Erinnerung bleiben.

Regelmäßige Schulungen für alle Mitarbeiter

Vergessen Sie nicht: Security-Awareness betrifft alle Mitarbeiter in Ihrem Unternehmen. Geschäftsführer, Abteilungsleiter, Angestellte oder Arbeiter müssen – ebenso wie etwa auch das Reinigungspersonal – spezifisch auf ihren Job zugeschnittene Inhalte vermittelt bekommen. Neue Mitarbeiter sollten ohnehin schnellstmöglich mit Sicherheitsrichtlinien und Vorgaben in Kontakt kommen.
Schulungen sollten mindestens einmal jährlich abgehalten werden, im Idealfall sollten die Mitarbeiter aber laufend Trainings erhalten – das ganze Jahr über in kleinen Dosen. Simulationen oder Online-Schulungen sind hierbei besonders zu empfehlen, da sie nur wenige Minuten in Anspruch nehmen und zeitlich flexibel gestaltet werden können.

Je spezifischer der Inhalt, desto besser

Je nach Abteilung, Dateisystem und der Art der verarbeiteten Daten wird im Rahmen eines Trainings ein maßgeschneiderter Schulungsplan erstellt. So bekommt etwa die HR-Abteilung eine Schulung zu berufsspezifischen Themen wie etwa personenbezogene Daten und im Anschluss einen kleinen Test mit Fragen zu den Inhalten. Im Laufe der nächsten Woche bekommen die HR-Mitarbeiter einige Mails, die sich als „Bewerbung“ tarnen, aber nicht geöffnet werden sollten, da hier Bedrohungspotenzial gegeben ist. Die Abteilung lernt, auf wichtige Details zu achten und zu erkennen, ob es sich um eine „echte“ Bewerbung handelt und wie im Zweifel vorzugehen ist.

Das Ergebnis und der Nutzen von Trainings

Security-Awareness-Trainings sind da, um Ihren Mitarbeitern potenzielle Gefahren näherzubringen und gewisse Risiken im Arbeitsalltag zu identifizieren und zu vermeiden. Je spezifischer das Training an die Bedürfnisse der Mitarbeiter angepasst ist, desto besser wird es wirken.
Eine Kombination von persönlichen Schulungen, Online-Trainings und –Tests sowie gezielte Phishing-Kampagnen bringt den meisten Mehrwert für den Mitarbeiter und das Unternehmen. Es sichert den gewissenhaften Umgang zu Themen wie:

  • Bedrohungen, Phishing-Mails und Malware
  • aktuelle Bedrohungsarten (z.B. DHL-Mail, Locky oder Macro-Viren)
  • Social Engineering
  • Erkennen von falschen Websites
  • Sicheres Verhalten beim Umgang mit Daten

Diese Fragen sollten Sie sich stellen

Sind Sie sich unsicher, ob Sie und die Mitarbeiter in Ihrem Unternehmen ein Security-Awareness-Training benötigen? Dann denken Sie darüber nach, wie Sie folgende Fragen beantworten würden:

  • Sehen Sie sich jedes Bewerbungsschreiben einfach an?
  • Sie haben einen USB-Stick am Parkplatz gefunden: Was machen Sie damit?
  • Sie entdecken einen Rechtschreib- oder Grammatikfehler auf einer Seite im Online Banking: Zweifeln Sie an der Echtheit der Seite?
  • Dürfen Sie ein Dokument von einem unbekannten Absender öffnen, welches Macros enthaltet?
  • Wo werden Ihre Papierdokumente entsorgt?
  • Kennen Sie alle Mitarbeiter in Ihrem Unternehmen? Würden Sie einem IT-Mitarbeiter, egal, ob Sie ihn kennen oder nicht, Ihr Passwort oder Ihre Zugangsdaten verraten?
  • Sehen Sie sich alle Mails – also auch z.B. interne Zahlungsanweisungen – genau an, ob sie gefälscht sind?
  • Haben Sie Ihr Passwort auf einem Zettel am Schreibtisch?
  • Wie gehen Sie im Allgemeinen mit Passwörtern um?

Diese Fragen sind nur ein Bruchteil möglicher Bedrohungen, auf die durch richtiges Security-Awareness-Training eingegangen werden kann. Je besser Ihre Mitarbeiter vorbereitet sind, desto geringer ist Ihr Risiko in Hinsicht auf Cyber-Bedrohungen.
ITdesign begleitet Sie in allen Phasen des Aufbaus von Security-Awareness und kann mit Workshops, Online-Tools, Tests und Phishing-Szenarios Ihre Mitarbeiter unterstützen und Ihre IT-Abteilung entlasten.

Weiters bietet Ihnen ITdesign mit dem Security Konzept eine Darlegung der zu betrachtenden Aspekte der IT Security.

Teilen: