Security Awareness – so wichtig ist der Faktor «Mensch»
Handeln bevor es passiert. Durch Phishing-Simulationen und Security Trainings werden Mitarbeitende aktiv in die Verteidigung von Cyber-Angriffen involviert.
Darum gehts
Begriffe wie IT Security, Cyber Security und Security Awareness prägen sich seit einigen Jahren immer mehr in den Wortschatz des Managements und der Mitarbeitenden ein. Längst wurde erkannt, dass Lücken in der IT-Infrastruktur nicht nur ein unangenehmes Nebengeräusch im Unternehmensalltag verursachen, sondern bedeutende Auswirkungen auf die Ausführung der Geschäftstätigkeiten haben. Während grossangelegte Hacking Angriffe auf bekannte Institutionen und internationale sowie nationale Grossunternehmen seit einem Jahrzehnt immer wieder die Titelseiten zieren, kommt das Bewusstsein, dass auch kleine Betriebe von der Gefahr durch Cyber Angriffe nicht gefeit sind, erst in den letzten Jahren richtig auf. Die Gefahr von Cyber-Angriffen nimmt dabei stetig zu und während Unternehmen nun mittlerweile vermehrt in den Schutz ihrer IT-Infrastruktur investieren, entwickeln sich auch Angreifer weiter.
Die Folgen daraus sind deutlich erkennbar
- Ein Viertel der Schweizer KMU war schon Opfer eines folgenschweren Cyberangriffs.
- Von ca. 39’000 angegriffenen KMU trug rund ein Drittel (13’000 KMU) einen finanziellen Schaden davon.
- Jeder zehnte Angriff hatte einen Reputationsschaden und/oder den Verlust von Kundendaten zur Folge.
Es gibt keinen 100% Schutz
Trotz immer besseren Schutzmassnahmen gelingt es Angreifern nach wie vor, erfolgreiche Phishing-Kampagnen durchzuführen. Dafür gibt es verschiedenste Gründe. Einerseits werden vermehrt kompromittierte Email-Accounts für den Versand von Phishing-Mails verwendet (auch Business Email Compromise, kurz BEC genannt). Andererseits können Schutztechnologien rein aus Gründen der Funktionsweise (statistische Analysen) keinen vollumfänglichen Schutz bieten. Zwar werden auch in diesem Bereich vermehrt moderne Erkennungsmethoden auf Basis von Machine-Learning-Technologien eingesetzt, einen 100% Schutz gibt es jedoch auch mit solchen Systemen nicht.
Aus diesem Grund ist es wichtig, Mitarbeitende zu schulen und regelmässig zu trainieren. So wird im Unternehmen das Bewusstsein gegenüber Cyberattacken gestärkt und die Mitarbeitenden erfahren, wie man auf Attacken reagiert und diese vereitelt.
Und so funktionierts
Mit Hilfe von Trainingsvideos und simulierten Cyber-Angriffen wird das Sicherheitsbewusstsein der Mitarbeitenden gezielt trainiert. Dafür wird initial eine Phishing-Kampagne aufgesetzt und eine Phishing-Mail an alle Mitarbeitende versendet. So kann gemessen werden, wie verwundbar ein Unternehmen gegenüber Phishing-Attacken ist. Anhand der Anzahl Klicks auf das Phishing-Mail wird der Bewusstseinsgrad festgelegt und das entsprechende Training individuell auf das Unternehmen zugeschnitten.
In unregelmässigen Abständen werden anschliessend Angriffe simuliert und ausgewertet. Auf Basis der Resultate werden dann mit dem Kunden individuell Trainings definiert. Diese können anschliessend den Mitarbeitenden über ein Training-Dashboard zugewiesen werden. Die Trainingsinhalte sind über eine Website für alle Mitarbeitenden zugänglich. Mit voranschreitenden Simulationen werden die simulierten Angriffe immer komplexer und allfällige Hinweise, dass es sich um eine Cyberattacke handeln könnte, immer subtiler. So kann eine kontinuierliche Steigerung des Sicherheitsbewusstseins aller Mitarbeitenden erzielt werden.
Summa Summarum
Nebst der stetigen Optimierung von technologischen Sicherheitsmechanismen darf nicht unterlassen werden, Mitarbeitende ebenfalls aktiv in den Schutz vor Cyberattacken miteinzubeziehen. Dazu ist es notwendig, regelmässige Security Awareness Trainings durchzuführen und auszuwerten. So kann das Bewusstsein der Mitarbeitenden gegenüber Cyberattacken gestärkt und die Wahrscheinlichkeit einer erfolgreichen Attacke verringert werden.
Sie interessieren sich für das Thema? Hier finden Sie einen Security Leitfaden für KMUs, welchen wir für Sie erarbeitet haben.
Security Leitfaden