13. August 2018

Die beste Firewall: die gut geschulte eigene Belegschaft

Allzu oft drehen sich Maßnahmen zur Cybersicherheit um Technik wie Firewalls oder Systeme zur Intrusion Detection. Eine der schlagkräftigsten Waffen bleibt dabei außen vor: der Mensch. Mitarbeiter sind nicht nur das Ziel quasi jedes professionellen Cyber-Angriffs. Sie können auch wirksamer Schutzwall und Frühwarnsystem zugleich sein. Vorausgesetzt, das Unternehmen hat einen Fokus auf entsprechende Schulungen gelegt.

Richtig geschult sind Mitarbeiter ein wirksamer Schutzwall und Frühwarnsystem zoom Richtig geschult sind Mitarbeiter ein wirksamer Schutzwall und Frühwarnsystem

Die gute Nachricht: Die seit Jahren bekannten, gezielten Phishing-Attacken sind nach wie vor das beliebteste Mittel von professionellen Angreifern. Die schlechte Nachricht? Die seit Jahren bekannten, gezielten Phishing-Attacken sind nach wie vor das beliebteste Mittel von professionellen Angreifern. Obwohl das Angriffsmuster – Angreifer verschicken E-Mails mit Link zu einer vermeintlich legitimen, aber vergifteten Login-Seite an potentielle Opfer und fischen so Nutzernamen und Passwörter ab – seit Jahren bekannt ist, funktioniert es nach wie vor. Laut Symantec (Internet Security Threat Report 2018) war Spear Phishing in 71 Prozent aller erfolgreichen Angriffe das Einbruchswerkzeug. Laut Verizon Business waren geklaute Anmeldedaten für gut 635 von 1800 untersuchten erfolgreichen Angriffen verantwortlich.

Mitarbeiter sind offenbar also das Ziel Nummer 1. Daher sollten sie auch zur Abwehrmaßnahme Nummer 1 gemacht werden. Durch Trainings aber auch durch eine eventuell anzupassende Unternehmenskultur. Letzteres zielt auf die leider immer noch anzutreffende Unsitte ab, Mitarbeiter für Cyber-Fehltritte abzumahnen oder gar zu entlassen. Wie beispielsweise im Fall der Buchhalterin einer Einzelhandelskette, die Cyber-Betrügern auf den Leim ging und ihnen eine große Geldsumme überwies. So ärgerlich das für das Unternehmen war, ist eine Kündigung sicherlich der falsche Weg. Besser wären Schulungen, in denen Mitarbeiter mit den jeweils aktuellen Modus Operandi des Cyber-Untergrundes vertraut gemacht werden – und so gar nicht erst zum Opfer werden.

In einer dem Thema Cybersicherheit gegenüber positiv eingestellten Unternehmenskultur werden entsprechend gut informierte Mitarbeiter damit dann zum Frühwarnsystem: Je früher die Cybersicherheitsexperten im Unternehmen von eingehenden Phishing-E-Mails erfahren beziehungsweise vom Klick auf den vergifteten Link, desto wirksamer sind ihre Maßnahmen: Sperre des betroffenen Nutzerkontos, Unterbinden weiterer Zugriffe auf die Phishing-Seite, Recherche, welche Kollegen ähnliche E-Mails erhalten haben und so weiter.

Auch die Form des Cybersicherheitstrainings hat entscheidenden Einfluss auf dessen Nachhaltigkeit. Wie wäre es mit einer Präsenzveranstaltung, bei der ein Fachmann lebendig über die Arbeitsweise des Cyber-Untergrunds oder das oftmals mystifizierte Dark Web referiert und Zuhörer sich so besser in die Denk- und Arbeitsweise der Kriminellen hineinversetzen können? Wirksam sind auch Elemente der Gamifizierung: Mitarbeiter, die im Rahmen eines kurzweiligen Parcours über Phishing, den Einsatz von Passwort-Managementsoftware oder das korrekte Verhalten beim Internetzugriff auf Reisen informiert werden, gehen Kriminellen deutlich seltener auf den Leim. Die Nachhaltigkeit eines solchen spielerischen Umgangs mit den Themen dürfte in jedem Fall höher sein als bei einem lieblos umgesetzten Anti-Phishing-Training samt nachfolgender, beliebig allgemein gehaltener E-Learning-Maßnahme.

Dass solche Vorträge oder Lernspiele auch die Privatperson im Mitarbeiter abholen, ist ein erwünschter Nebeneffekt: Nehmen Kollegen aus dem Vortrag, der Schulung oder dem Cyber-Rollenspiel etwas „für zu Hause“ mit, verbinden sie Cybersicherheit im Unternehmen mit etwas Positivem. Außerdem sind Mitarbeiter, die auch als Privatpersonen in Sachen Cybersicherheit fit sind, schlagkräftiger als diejenigen, denen nur punktuell und in Bezug auf ihre berufliche Tätigkeit Wissen vermittelt wurde. Vielleicht ringt sich das Top-Management ja sogar dazu durch, die vom Unternehmen gestellte Passwort-Managementsoftware ausdrücklich auch für den privaten Gebrauch freizugegeben und so auch das Sicherheitsniveau der privaten Onlinekonten der Mitarbeitenden zu verbessern? Dies dürfte für mehr Motivation beim Umgang mit Cyberrisiken sorgen als die Furcht vor Abmahnung oder eine langweiligen Online-Schulung.


Foto: pexels.com