Erfahrungen & Bewertungen zu 8S IT-Sicherheit e.K.

Teil 2: Welche Rolle spielen die Mitarbeiter?

Im ersten Teil unserer Serie ging es um den Aufbau der IT-Sicherheitsorganisation. Lesen Sie hier, warum es auf Ihre Mitarbeiter ankommt.

Ein einstündiger Vortrag einmal pro Jahr und Verpflichtungen zu mehr IT-Sicherheit helfen – gar nicht.

Immer wieder betonen Fachleute, dass jeder einzelne Mitarbeiter verantwortlich ist, wenn es um die Vertraulichkeit von Informationen geht. Nicht selten werden Mitarbeiter mit Regeln und Vorschriften überschüttet. Unternehmen verordnen IT-Sicherheit und hoffen, dass sie tatsächlich gelebt wird.

Genau hier wird Bewusstsein für den richtigen Umgang mit Daten und Informationen geschaffen. Dies wird mit dem Begriff „Awareness“ (engl. Bewusstsein) beschrieben. Awareness bedeutet, die Mitarbeiter

  • aufzuklären
  • sie zu überzeugen und
  • sie anzuleiten.

Regeln helfen um den ersten und dritten Punkt abzuarbeiten. Richlinien legen die Regeln fest, nach denen gearbeitet wird. Richtlinien decken aber nur punktuell die einzelnen Sicherheitsfelder ab. Ein Awareness-Programm gibt dann einen Einblick in die übergeordnete Unternehmenssicht. Ein wichtiger Schritt zu besserer IT-Sicherheit ist es, die Mitarbeiter von der Notwendigkeit des Vorgehens zu überzeugen.

Schulen Sie Ihre Mitarbeiter. Aber anders!

Eine unangemeldete IT-Sicherheitsüberprüfung stösst nicht unbedingt auf Gegenliebe bei den Mitarbeitern. Aber sie hilft, interne Schwachstellen im Unternehmen aufzudecken.

Verschiedene Reporte von führenden IT-Sicherheitsunternehmen zeigen, dass viele Angestellte sensible Informationen über Social Media verbreiten, unsichere WLANs benutzen und vertrauliche Firmendaten nicht ausreichend schützen. Dies führt dazu, dass die Zahl erfolgreicher Phishing-Attacken stetig zunimmt.

Phishing-Angriffe sind leicht messbar. Eine Testkampagne zeigt schnell auf, wie viele Mitarbeiter nicht ausreichend geschult sind und hierauf hereinfallen, beziehungsweise wie viele die verdächtige Email erkennen und melden.

Führen Sie anschließend einen Phishing-Workshop durch und werten Sie erneut die Ergebnisse im Rahmen einer zweiten Phishing-Testkampagne aus. Sie erhalten nun gute Kennzahlen zum Erfolg Ihres Security Awareness Programms.

Erstes Trainingsziel: Phishing erkennen

Empfehlenswert ist es, die Mitarbeiter als Erstes für Phishing-Angriffe zu sensibilisieren. Ein Großteil aller erfolgreichen Angriffe beinhaltet Phisigng-Attacken. Und gerade vor dem Hintergrund, dass viele Menschen zu viele Informationen auf Social-Media-Plattformen wie Facebook teilen, sind Phishing-Attacken erfolgreich. Das Verhalten der Mitarbeiter macht es Angreifern leicht, an vermeintlich unsensible Daten zu kommen, die einem Angreifer in der Summe sehr wohl wertvolle Insider-Informationen liefern und manche Angriffe überhaupt erst möglich machen.

Training alleine genügt nicht

Trainieren Sie ihre Mitarbeiter, damit sie wissen, worum es geht. Testen Sie sie, um die Aufmerksamkeit hoch zu halten. Die Frage ist immer: Wer fällt auf den Köder herein?

Testen Sie jeden Mitarbeiter einmal im Monat, gerne öfter. Aber bitte nicht zu häufig. Das schafft Frust und führt nicht zu besseren Ergebnissen!

Hüten Sie sich davor, Mitarbeiter die auf Phishing Mails hereinfallen, zu bestrafen oder gar zu feuern. Nutzen Sie stattdessen die Gelegenheit, das Beispiel im nächsten Team-Meeting oder, noch besser, in der nächsten Awareness-Schulung aufzugreifen. Natürlich ohne den Mitarbeiter zu diskreditieren!

Das Ziel muss es sein, das Programm stetig zu verbessern. Dies gelingt nur, wenn die Mitarbeiter bereit sind, von Ihren Fehlern zu erzählen und (potentielle) Sicherheitsvorfälle zu melden – ohne Angst vor einer Strafe.

Lesen Sie im 3. Teil unserer Serie mehr zum Thema „Home Office und mobiles Arbeiten“.

Schreiben Sie uns!

Senden Sie uns einfach eine Mail. Wir antworten Ihnen schnellstmöglich!

prozessgrafikmobiles arbeiten