5. Juni 2018

Awareness: Vom Anwender zum Datenhüter

Es gilt: Ohne Digitalisierung kein geschäftlicher Erfolg in Zukunft. Das heißt aber auch: Durch Digitalisierung mehr Einfallstore für Cyber-Kriminelle und Datendiebe. Setzen Unternehmenslenker ihre Organisationen daher durch die Digitalisierung einem unkalkulierbaren Risiko aus? Nicht zwingend. Awareness-Programme machen aus Mitarbeitern – und Führungskräften – Verteidiger der sensiblen Datenbestände. Wie aber geht Awareness richtig?

Awareness schaffen: Cyber Security betrifft alle Mitarbeiter zoom Mitarbeiter müssen für den Schutz kritischer Unternehmensdaten sensibilisiert werden

Über die Relevanz von Digitalisierung zu diskutieren, ist verschwendete Zeit: Ohne Digitalisierung geht es nicht. Ebenso offensichtlich ist, dass digitale Systeme immer Schwachstellen haben werden und dass durch eine fortschreitende Digitalisierung auch die Angriffsfläche größer wird.

Bislang gehen IT- und Unternehmensverantwortliche mögliche Schwachstellen zumeist wie folgt an: Sie kaufen immer neue Schutztechnik. Und auch künftig wird es ohne Firewalls, Virenscanner, Intrusion Detection Systeme, Verschlüsselung und so weiter nicht gehen. In der Aufzählung fehlt aber ein entscheidender Faktor: der Mensch. Wird er befähigt, mit IT-Systemen kompetent umzugehen, wandelt er sich vom reinen Anwender zum Bewahrer der kritischen Unternehmensdaten.

Mit „Kompetenz“ ist hier keine Schulung zum Umgang mit Microsoft PowerPoint, SAP ERP, Salesforce Sales Cloud & Co. gemeint. Sondern viel mehr Schulungen, die vermitteln, wie Cyber-Kriminelle heute vorgehen. Was es mit Social Engineering auf sich hat, oder wie clever gemachte Phishing-E-Mails aussehen. Soviel sei schon jetzt verraten: Professionelle Phishing-Nachrichten haben mit den von Tippfehlern bis zur Lächerlichkeit geplagten E-Mails aus Nigeria so viel zu tun wie Fahrschüler mit Formel-1-Piloten.

Es gibt bereits heute reichlich Anbieter von Webinaren, die Hintergrundwissen zu Phishing und Malware vermitteln. Diese Trainings sind auch wichtig. Sie sind aber kein Allheilmittel, wie Sascha Maier, Chief Information Security Officer (CISO) des Schweizer Uhrenherstellers IWC weiß: „Wir haben auch Präsenzschulungen in unser Awareness-Programm integriert. Das ist aufwändiger, macht sich aber durch bessere Wissensvermittlung bezahlt“, so Maier. Außerdem spricht IWC mit den Schulungen nicht nur den Mitarbeiter, sondern auch die Privatperson an. „Wir informieren auch über spannende Cyber-Themen wie Krypto-Währungen, das Dark Web oder Cyber-Bullying. Denn rundum kompetente Mitarbeiter gehen auch im beruflichen Alltag sorgsamer mit IT-Systemen um“, sagt der IWC-CISO.

Zum Standard-Repertoire vieler Awareness-Maßnahmen gehören Anti-Phishing-Übungen. Hier werden zu Trainingszwecken Phishing-Nachrichten an Mitarbeiter erstellt und verschickt werden. Diese sind oftmals wenig nachhaltig, wie Untersuchungen gezeigt haben. Mit nur wenig Aufwand lässt sich die Durchschlagkraft dieser Trainingseinheiten aber sprunghaft vergrößern. Und zwar wenn man dem Mitarbeiter unmittelbar nach dem fatalen Klick auf den Phishing-Link erläutert, weshalb die Aktion gefährlich sein kann. Diese nüchterne Erläuterung sollte durch die Personalabteilung, das hauseigene Call Center oder die IT-Abteilung erfolgen und durch ein entsprechendes Skript unterstützt werden. Wohingegen Schuldzuweisungen oder das Androhen arbeitsrechtlicher Konsequenzen nicht zielführend sind. Dass solche Maßnahmen Geld kosten, steht außer Frage. Daher muss die Unternehmensführung auch unbedingt mit in die Konzeption der Maßnahmen einbezogen werden – um zu entscheiden, aus welchem Topf das Geld fließt. Vielleicht lässt sich die Anschaffung der budgetierten neuen Firewall ja aufschieben und mit dem freigewordenen Geld die Firewall „Mensch“ im Unternehmen errichten?


Foto: pexels.com