Warum müssen Unternehmen ihre Mitarbeiter für das Thema IT-Sicherheit sensibilisieren?
Cyber-Angriffe gehören heute für viele Unternehmen zum täglichen Geschäft. Dabei sehen wir zwei Trends. Erstens: Cyberkriminelle werden immer schneller. Wir haben im ersten Halbjahr beobachtet, dass die Täter beispielsweise einen Ransomware-Schädling wie Emotet mit bis zu 200 neue Versionen pro Tag an die Opfer bringen. Sie nutzen automatisierte Programme, um den Schadcode für Virenscanner zu verschleiern. Manchmal kommt alle sieben Minuten eine neue Version des Schadprogrammes in Umlauf.
Zweitens suchen sich Cyberkriminelle ihre Opfer viel gezielter aus. Die Attacken sind von langer Hand geplant. Bereits im Vorfeld sammeln die Verbrecher wichtige Informationen. Dann passen sie die Lösegeldforderungen so an, dass das Unternehmen sich die Zahlung gerade noch leisten kann. Die Schadenssummen sind so vielfältig, wie die Unternehmen selbst. Für einige Unternehmen ist schon ein Schaden von mehreren tausend Schweizer Franken kaum zu verkraften. Wir kennen jedoch auch Lösegeldforderungen von mehreren hunderttausend Franken bis hin zu siebenstelligen Summen.
Die Erfahrungen der vergangenen Jahre zeigen, dass immer wieder Menschen erfolgreiche Cyberattacken begünstigen. Unserer Erfahrung zu Folge gehen sogar 90 Prozent aller Sicherheitsvorfälle auf menschliches Versagen zurück. Denn in zahlreichen Fällen nehmen Verbrecher Mitarbeiter gezielt ins Visier, um über diesen Weg ins Netzwerk einzudringen – Stichwort „Social Engineering“. Das zeigt: Alleine technologische Schutzmassnahmen reichen nicht aus. Aufmerksame Mitarbeiter sind ein entscheidender Faktor bei der Abwehr von Cyberattacken.
Bei welchen Themen müssen Mitarbeiter denn sensibilisiert werden?
Das Themenspektrum ist sehr umfassend. So hat sich das Arbeiten in den vergangenen Jahren deutlich verändert. Wer unterwegs etwa in der Bahn oder im Home-Office arbeitet, muss wissen, wie er die Informationen schützen muss. Aber auch bei typischen sicherheitsrelevanten Themen wie Passwörter und Phishing ist es hilfreich, Mitarbeiter zu sensibilisieren.
So ist Phishing immer schwerer zu erkennen. Spam-Mails werden heute längst nicht mehr im Namen angeblicher nigerianischer Prinzen versendet, sondern sehen aus wie ganz normale Geschäftsvorgänge. Letztendlich müssen Unternehmen dafür sorgen, dass sich die Mitarbeiter nicht nur der aktuellen Gefahrenlage bewusst sind, sondern auch in die Lage versetzt werden, Angriffsmuster frühzeitig zu erkennen und im Verdachtsfall entsprechend zu handeln. IT Sicherheit muss so selbstverständlich sein wie Brandschutz oder Erste Hilfe.
Dafür bedarf es eines umfassenden Schulungsangebotes für die Angestellten. Wir bei G DATA haben auf Basis unserer über 30-jährigen Erfahrung im Kampf gegen Cyberkriminelle ein umfassendes Trainingsangebot entwickelt und unterstützen Unternehmen dabei, ihre Mitarbeiter zu sensibilisieren.
Welche Unternehmen bzw. welche Mitarbeiter sollten Security Awareness Trainings durchführen?
Die Frage müsste ja eigentlich andersherum gestellt werden: Welches Unternehmen kann es sich leisten, auf solche Trainings zu verzichten? Die Antwort lautet schlicht: Keines. Denn Cyber-Angriffe treffen kleine Unternehmen wie den mittelständischen Bäcker mit drei Filialen genauso wie den internationalen Konzern wie beispielsweise die Reederei Maersk. Daher ist eine Investition in das IT-Sicherheitswissen der Mitarbeiter gleichzeitig auch eine Investition in die Zukunft des Unternehmens.
Unternehmen können die Awareness Trainings ja sogar für sich nutzen, um sich vom Wettbewerb zu unterscheiden. Sie signalisieren ja ihren Kunden damit, dass sie sich ganzheitlich mit dem Thema beschäftigen und nicht nur auf technologische Schutzmassnahmen vertrauen.
Wie sind die Security Awareness Trainings von G DATA aufgebaut?
G DATA deckt das gesamte Themenspektrum der IT-Sicherheit ab. In mehr als 35 Kursen wird nach neuesten Lernmethoden Wissen bedarfsgerecht vermittelt. Diese Kurse sind in neun verschiedene Themenblöcke gegliedert. Zu Beginn absolviert jeder Mitarbeiter einen Einstiegstest, um seinen Wissensstand zu prüfen. Damit lassen sich die Inhalte für jeden Angestellten individuell steuern und priorisieren. Das reicht vom Umgang mit mobilen Geräten über aktuelle rechtliche Vorgaben zum Datenschutz bis zu Kennzeichen aktueller Angriffsszenarien mit Malware und Phising.
Dabei kommen sowohl Videos, als auch Texte und interaktive Multiple-Choice-Test zum Einsatz. Für uns ist es wichtig, neu erlangtes Wissen immer wieder aufzufrischen und zu wiederholen. Bei aktuellen Gefährdungen oder Sicherheitsvorfällen können wir in kürzester Zeit neue Inhalte zusteuern, sodass Mitarbeiter entsprechend vorbereitet sind auf aktuelle Angriffsversuche.
Welches Feedback erhalten die Mitarbeiter?
Nach jeder Frage erhalten Mitarbeiter natürlich eine Rückmeldung, was richtig und was falsch war. Aber anstelle eines erhobenen Zeigefingers á la „Das war falsch!“ folgt eine genaue Erklärung, was sie hätten besser machen können. Dieses positive Feedback sorgt für einen optimalen Lernerfolg. Gleichzeitig ist sichergestellt, dass die Mitarbeiter auch die nächste Lerneinheit absolvieren und das gesamte Training bis zum Ende mitmachen.
Alle Lerninhalte zeigen Situationen, die Mitarbeiter aus ihrem eigenen Arbeitsalltag kennen. Sie sind verständlich formuliert und daher besonders für Angestellte ohne technische Vorkenntnisse schnell und einfach nachvollziehbar. Der Lernzuwachs ist für den Mitarbeiter, aber auch Personal- und IT-Verantwortliche messbar. Wichtig dabei: Die Security Awareness Trainings sind datenschutzkonform und auf die Vorgaben des Betriebsverfassungsgesetzes abgestimmt.
Eine zusätzliche Motivation bieten Zertifizierungen. Mitarbeiter können sich nach bestandenen Themenblöcken eine Urkunde über die erfolgreiche Teilnahme ausstellen lassen. An dieser Stelle stehen wir zurzeit auch mit unseren Kunden im engen Austausch und denken bereits über mögliche Erweiterungen nach. Hier lassen sich etwa Gamification-Ansätze integrieren, so dass beispielsweise Fachabteilungen gegeneinander antreten. Denkbar sind auch Incentivierungen für erfolgreiche Mitarbeiter wie Gutscheine oder ähnliches.
Wie sieht die technische Umsetzung aus?
Der Aufwand für Unternehmen ist gering. G DATA stellt ihnen mit der E-Learning-Plattform ein Rund-um-Sorglos-Paket zur Verfügung, dass sich individuell administrieren lässt. Auf Wunsch lässt sich das Angebot auch im Corporate Design des jeweiligen Unternehmens darstellen. Zusätzlich unterstützten wir die Unternehmen auch mit begleitendem Marketing-Material wie Poster, um die Motivation der Mitarbeiter zu steigern.
Welchen Mehrwert bieten E-Learnings gegenüber Präsenztrainings?
Ab einer bestimmten Unternehmensgrösse lassen sich verpflichtende Präsenzschulungen kaum noch realisieren. Mindestens ein Mitarbeiter ist krank, im Urlaub oder dienstlich unterwegs. Und der Aufwand, zusätzliche Termine für diese Mitarbeiter zu organisieren steigt nahezu exponentiell. E-Learnings müssen auf diese Befindlichkeiten keine Rücksicht nehmen. Gerade Unternehmen mit verteilten Standorten profitieren hiervon.
Hinzu kommt: Alle Mitarbeiter erhalten die gleichen Informationen in derselben Form und dozentenunabhängig. Gleichzeitig lassen sich die Trainings auf die persönlichen Vorkenntnisse der einzelnen Mitarbeiter anpassen. Neue beziehungsweise aktuelle Lerninhalte lassen sich schnell integrieren und stehen allen Teilnehmern sofort zur Verfügung. Und nicht zuletzt können Vorgesetzte und Personalverantwortliche dank integrierter Testmodule den Lernfortschritt ihrer Mitarbeiter prüfen.
Weitere Informationen:
https://www.gdata.ch/business/security-awareness-training oder
info@gdata.ch
