European Cyber Security Month, Teil 2: Gut gerüstet

18. Oktober 2019


Amateure hacken Systeme, Profis hacken Menschen
– dieser Satz stammt vom Security-Experten Bruce Schneier und gilt heute mehr denn je.

IT-Sicherheit betrifft jeden Mitarbeiter und jede Abteilung im Unternehmen – vom Werkstudenten in der Buchhaltung über die Lageristen bis zur Geschäftsführung. Immer mehr Unternehmen haben bereits das Bewusstsein entwickelt, dass IT-Sicherheit nicht allein durch technische Maßnahmen zu erreichen ist – geschultes Personal trägt ebenfalls einen großen Beitrag zum Schutz vor Cyber-Angriffen bei.

Führen Sie daher regelmäßige Sensibilisierungen und Schulungen mit dem Ziel durch, den Mitarbeitenden die notwendige Kompetenz, aber insbesondere das entscheidende Selbstverständnis zu vermitteln: Sie sind nicht das Problem für die IT-Sicherheit des Unternehmens. Sie tragen Verantwortung und leisten einen wichtigen Beitrag. Da Cyber-Kriminelle geschickt technische Angriffe und Social Engineering kombinieren, leistet die menschliche Awareness einen sehr großen Anteil zum Schutz von Unternehmen.

Mit diesen drei Tipps trainieren Sie den sicheren Umgang mit IT effektiv und nachhaltig:

1. Sprechen Sie beim Thema IT-Awareness die Sprache Ihrer Mitarbeiter – nicht jeder verfügt über dasselbe technische Grundverständnis. Die internen Schulungs- und Awareness-Maßnahmen sollten weder über- noch unterfordern. Holen Sie alle Mitarbeiter bei der Problematik ab, erklären Sie Ihnen in einfacher Sprache und anhand praktischer Beispiele, welchen konkreten Bedrohungen wie CEO-Fraud oder Ransomware das eigene Unternehmen ausgesetzt ist und welche Folgen für das Unternehmen möglicherweise entstehen.

2. Geben Sie Ihren Mitarbeitern das gute Gefühl, dass eine Anfrage an die IT-Abteilung zu einer verdächtigen E-Mail keinen zusätzlichen Aufwand verursacht, sondern genau das Richtige ist. Lassen Sie z. B. die Mitarbeiter in der Buchhaltung wissen, dass Sie bei einer fragwürdigen Zahlungsaufforderung jederzeit bei der Geschäftsleitung nachfragen dürfen. Passen Sie im Unternehmen Ihre Prozesse an, so dass jeder stets weiß, an wen er sich ohne Bedenken per E-Mail, per Messenger oder per Telefon wenden kann.

3. Awareness-Maßnahmen sind besonders erfolgreich, wenn Sie praxisnah und somit für den Mitarbeiter auch greifbar sind. Zeigen Sie Ihren Mitarbeitern echte E-Mails, die bei Ihnen im Unternehmen aufgeschlagen sind. Ein Gamification-Ansatz, z. B. als Escape Room oder Quiz, bringt Ihren Mitarbeitern die Themen IT-Sicherheit und Awareness spielerisch nahe; mit einer Phishing-Simulation wiederum schulen Sie die Augen Ihrer Mitarbeiter, um verdächtige E-Mails selbst erkennen zu können.

Weitere Informationen

Auf der Seite BSI für Bürger erfahren Sie u.a.:

Wie Sie betrügerische E-Mails erkennen können
Wie Sie sich vor Spam schützen können
Wie Sie sich vor Passwortdiebstahl durch Phishing schützen können
In einem Podcast erfahren Sie mehr zu Thema IT-Sicherheit am Arbeitsplatz

Auf der Seite des Bürger-CERT erhalten Sie aktuelle Sicherheitshinweise z. B. zu Schwachstellen und Schadprogrammen

Das Thema Sensibilisierung und Schulung wird im IT-Grundschutz umfassend im Baustein Organisation und Personal behandelt

Eine kostenlose und für alle zugängliche Phishing-Awareness-Kampagne im Rahmen des ECSM 2019, die Ihnen hilft Phishing-Mails anhand praktischer Beispiele selbst erkennen zu lernen, finden Sie unter: www.phish-test.de (ein Angebot einer Cyber-Sicherheits-Initiative aus Köln)

Bei diesem Beitrag hat mitgewirkt:

Botfrei.de - Das Sicherheitsportal


Gut gerüstet