Mensch – Angriffspunkt und Abwehrschirm in Sachen Cyberangriffe

Insbesondere kleinere und mittlere Unternehmen stoßen bei der Verteidigung schnell an ihre Grenzen. Sie sind gut beraten, eine nach wie vor oft vernachlässigte Ressource in ihre Verteidigungsstrategie einzubinden: ihre Mitarbeitenden.

Warum Security-Kultur fester Bestandteil einer Unternehmensstrategie sein sollte

Während also die technischen Hürden für Cyberangriffe immer kleiner werden, steigt die Wahrscheinlichkeit, dass auch kleine und mittlere Unternehmen (KMU) angegriffen werden, kontinuierlich an. Gleichzeitig suchen Unternehmen händeringend auf dem Arbeitsmarkt nach Cybersecurity-Fachkräften, wobei es vor allem KMU im Wettbewerb mit größeren Arbeitgebern hier oft deutlich schwerer haben. Ein Ausweg aus dieser Cybersicherheits-Falle liegt darin, Cybersecurity in der Unternehmenskultur zu verankern und die Weiterbildung zu diesem Thema auf eine breite Basis zu stellen. Dabei gilt es, die Cyber Awareness und Abwehrfähigkeit in der gesamten Belegschaft durch Schulungen und Trainings zu stärken. Der Fokus sollte aber auch auf Berufsfelder gelenkt werden, die an die IT angrenzen, wie Ingenieurinnen und Ingenieure. Denn durch das Industrial Internet of Things (IIoT) nimmt nicht nur der Vernetzungsgrad der Maschinen in der Produktion immer weiter zu. Auch bisher „getrennte Welten“, nämlich die OT (operative Technologie) und die IT (Informationstechnologie) müssen jetzt besser miteinander kommunizieren, gerade weil dort „verschiedene Sprachen“ gesprochen werden.

Vorsicht, Mail vom Chef!

Phishing-Mails, CEO-Fraud oder Social Engineering – Cyberkriminelle nutzen immer vielfältigere Methoden, um an sensible Daten zu gelangen. Durch zunehmende Vernetzung und mobiles Arbeiten wächst gleichzeitig die Angriffsfläche. Ein großer Risikofaktor dabei ist nach wie vor der Mensch: 90 Prozent aller Cyberangriffe sind auf Phishing-Angriffe zurückzuführen, bei denen persönliche Daten wie Passwort, Kreditkartennummer mit gefälschten E-Mails oder Websites erbeutet werden.

Angreifer können solche hochindividualisierte Angriffe heute mit geringem Aufwand durchführen. Gleichzeitig hinkt die IT-Sicherheit im Unternehmen im technischen Wettlauf oft hinterher. Umso wichtiger wird die „menschliche Firewall“: Schulungen und Trainings können sie stärken. Aber erst wenn die Mitarbeitenden tatsächlich ihr Verhalten ändern, bewirkt das eine messbare Verbesserung der Informationssicherheit. Regelmäßige Weiterbildungs- und Sensibilisierungsmaßnahmen zur Informationssicherheit sind fester Bestandteil bei anerkannten Standards wie dem BSI-Grundschutz oder der ISO/IEC 27001. Viele KMU schulen ihre Belegschaft regelmäßig. Aber wenden die Mitarbeitenden im Ernstfall das Erlernte auch an?

Cybersecurity messbar machen

Inzwischen gibt es auf dem Markt IT-Security-Awareness-Plattformen, die Schulungs- und Trainingsmaßnahmen gezielt nach individuellem Bedarf steuern und durch Erfolgskennzahlen (KPIs) messbar machen, um Fortschritte zu dokumentieren. Ein Anti-Phishing-Training simuliert dazu realitätsnahe Spear-Phishing-Mails und sorgt so für ein effektives Lernen. Mitarbeitende erhalten dazu digitale Micro-Learning-Einheiten zur Vertiefung der Lerninhalte. Auf diese Weise lässt sich eine gelebte Cybersecurity-
Kultur etablieren, die auch messbar ist.

In drei Schritten zur Human Firewall

Security Awareness und sicherheitskonformes Verhalten entstehen in drei Stufen, die aufeinander aufbauen:

1. Perception: Mitarbeitende können die Bedrohungslage und Phishing erkennen.

2. Protection: Mitarbeitende wissen, wie sie sich vor Phishing schützen können. In diesen ersten beiden Stufen wird durch Schulungen Wissen aufgebaut und vertieft.

3. Behaviour: Die Mitarbeitenden verhalten sich im entscheidenden Moment sicherheitskonform. In dieser dritten Stufe wird das Gelernte trainiert und angewendet – zum Beispiel mit simulierten Phishing-Angriffen – und so im Verhalten verankert.

In jedem Fall sollten Mitarbeitende Teil der Lösung „Human Firewall“ sein und nicht das Problem. Das Sensibilisierungsprogramm muss unternehmensintern breit kommuniziert sein und nicht zuletzt von den Führungskräften selbst vorgelebt werden. Um das Gelernte tatsächlich im Verhalten zu verankern, ist die richtige Vorbereitung, Durchführung und Erfolgskontrolle der Maßnahme essenziell. Das beinhaltet auch Erfolgskennzahlen (KPIs) und deren Analyse im Rahmen von Management-Reviews.

Chancen für Quereinsteiger 

Neben einer gut geschulten Belegschaft braucht es natürlich weiterhin dediziert zuständige IT-Sicherheitsbeauftragte, um geeignete Abwehrmaßnahmen aufzubauen und im Ernstfall schnell zu reagieren. Durch die angespannte Situation auf dem Arbeitsmarkt sind diese Fachkräfte allerdings nicht nur schwer zu finden, sondern oft auch sehr teuer. Auch hier kann Weiterbildung eine Lösung sein: Die Hürde, die es für Quereinsteiger zu überwinden gilt, um in dem Bereich Cybersecurity Fuß zu fassen, kann durch umfängliches Training in Sachen der technisch und organisatorischen Informationssicherheit, IT-Risikomanagement und Security-Awareness-Kampagnen signifikant gesenkt werden.