Security Awareness
Zwischen 50% und 90% aller Datendiebstähle und Schadsoftwarevorfälle sind auf Fehlverhalten der eigenen Mitarbeitenden zurückzuführen. Sie verwenden zu einfache Passwörter, erkennen Phishing-Attacken nicht oder laden unbedacht (automatische) Schadsoftware-Downloads – Schadenfälle, die grösstenteils verhindert werden können.
Cyberpiraten agieren raffiniert. Mitarbeitende sollten das auch.
So wie eine undichte Stelle am Rumpf verheerend für ein Schiff sein kann, so bedrohlich können Datenlecks für Unternehmen sein. Eine der grössten Schwachstellen sind nachlässige und unwissende Nutzer:innen. Sie fallen auf Phishing-Mails rein, benutzen verseuchte USB-Sticks, geben online und telefonisch Auskunft über sensible Firmeninformationen oder teilen gleich ihre Zugangsdaten.
Der überwiegende Teil aller Datenlecks und -Diebstähle – Studien sprechen von bis zu 90 % – kommen nur zustande, weil sich Menschen erfolgreich manipulieren lassen. Angreifer setzen äusserst erfolgreich auf gefälschte E-Mails und Webseiten (Phishing), um Daten zu stehlen oder Schadsoftware zu verteilen.
Sensible Daten benötigen einen eben solchen Umgang.
Um ein Unternehmen weniger anfällig für solche Angriffe zu machen, bieten sich verschiedene technische Hilfsmittel an. Angefangen bei modernen Endpoint Detection & Response Systemen über intelligente E-Mail-Filter bis hin zur Web-Isolierung. Solche und weitere Massnahmen können das Sicherheitsniveau im Unternehmen durchaus steigern, bieten aber meist noch keinen ausreichenden Schutz vor der Vielfalt von Social Engineering Angriffen. Genau deshalb lohnt es sich, in die Aufklärung und Sensibilisierung der Nutzer:innen zu investieren. Diese sollte bedarfsgerecht und auf die einzelnen Zielgruppen zugeschnitten sein. Zudem gilt es, auf die Kontinuität der Kern-Botschaften, inhaltliche Abwechslung und den richtigen Medienmix zu achten.
Management Awareness
Management Awareness ist aus mehreren Gründen ein zentrales Thema. Eine grundsätzliche Awareness für Security Themen ist meist die Voraussetzung, um überhaupt Mittel für die Umsetzung entsprechender Massnahmen zu erhalten. Darüber hinaus haben Kaderleute eine Vorbildfunktion, stellen auf Grund von Zugriffrechten und Entscheidungskompetenzen sowie vermehrter Reisetätigkeit höchst attraktive Ziele für Social Engineering Angriffe dar. Aus diesen Gründen ist auch die Sensibilisierung des Managements mittels gezielter Security Awareness Kampagnen unabdingbar. Dies gilt übrigens auch für Administrator:innen und User mit privilegierten Zugriffsrechten.
Phishing-Tests
Phishing-Tests sind eine einfache und effektive Methode, um die Anfälligkeit von Mitarbeitenden auf Phishing zu überprüfen. Werden die Tests nach einiger Zeit wiederholt, können damit auch Fortschritte gemessen werden. Unternehmen sollten es jedoch nicht bei den Tests belassen, sondern diese in ein übergeordnetes Awareness Programm mit entsprechenden Schulungselementen integrieren.
Bewusstsein schaffen. Von der Kommandobrücke bis in den Maschinenraum.
Schutz gegen Cyberattacken ist nicht nur Sache der IT, Resilienz und Abwehrfähigkeit müssen bei allen Exponent:innen über alle Hierarchieebenen vorhanden sein. Die Sensibilisierung und das Verständnis der Mitarbeitenden für die Gefahr von Attacken führt zu einem verantwortungsbewussteren, aufmerksameren Handeln und verhindert neben gravierenden materiellen Schäden auch immaterielle – etwa Reputationsverluste.
Klar ist: Wer seine Mitarbeitenden einmal pro Jahr ein Web-based Training durchklicken lässt, erreicht nichts von dem. Eine kontinuierliche und abwechslungsreiche Konfrontation top-down mit den wichtigsten Verhaltensgrundlagen ist absolut notwendig, um dieses Ziel zu erreichen. Teuer muss dies jedoch nicht sein.
Dürfen wir Ihnen persönlich Argumente für ensec liefern? Kontaktieren Sie uns.