Zwischen Privat- und Geschäftsleben klafft eine Lücke. Denn während unser Privatleben schon stark digitalisiert ist, prägt Zurückhaltung das Geschäftsleben. Insbesondere Entscheider zögern und offenbaren Berührungsängste mit der digitalen Transformation. Dabei übersehen sie auch, dass es den eigenen Angestellten an digitalen Kenntnissen fehlt und viele sich daher überfordert fühlen. Denn die Digitalisierung bringt neue Arbeitsweisen mit sich und verlangt von vielen Mitarbeitern, jahrelang Erlerntes hinter sich zu lassen und wieder neu anzufangen. In diesem Zusammenhang offenbart sich, dass es Unternehmen oftmals versäumt haben, frühzeitig die Mitarbeiter fit für die Digitalisierung zu machen.
Diese digitale Unwissenheit birgt eine grosse Gefahr: Wenn Angestellte Hinweise auf Cyberangriffe nicht erkennen, setzen sie die IT-Sicherheit des Unternehmens aufs Spiel. Um Mitarbeiter für Cybersecurity zu sensibilisieren, bedarf es umfassender Schulungen. Die Security Awareness Trainings von
G Data CyberDefense leisten beides: Sie verdeutlichen die veränderten Rahmenbedingungen des digitalen Wandels und zeigen auf, wie aufmerksame Mitarbeiter durch ihre Handlungen Cybergefahren erkennen und abwehren.
E-Learnings eignen sich besonders gut, um den Mitarbeitern digitales Know-how und damit auch Sicherheitsbewusstsein zu vermitteln. Zeitgemässe Trainings-Methoden führen zu einem nachhaltigen Lerneffekt und tragen dazu bei, dass Mitarbeiter die neuen Arbeitsprozesse und -weisen im Unternehmen verstehen und in ihren Arbeitsalltag übernehmen. So lassen sich nicht nur die bestehenden Unsicherheiten bei der Belegschaft abbauen. Gleichzeitig versetzt das neue Wissen Angestellte in die Lage, Cyberattacken frühzeitig zu erkennen und auch zu verhindern.
KMU im Fadenkreuz
Cyberangriffe sind auch für KMU eine ernsthafte Bedrohung. So hat die Melde- und Analysestelle Informationssicherung (MELANI) erst im Februar 2020 vor gezielten Ransomware-Attacken auf die Systeme von KMU und Grossbetrieben gewarnt. In Fällen, bei denen es den Tätern gelungen ist, Systeme und Daten zu verschlüsseln, stellten die Täter Lösegeldforderungen von mehreren zehntausend Schweizer Franken, vereinzelt auch von Millionenbeträgen. Dabei fällt es den Angreifern meistens recht leicht, die IT zu kapern. Das hat mehrere Gründe.
Zum einen erhöhen Cyberkriminelle das Tempo und setzen automatisierte Tools ein, die in kurzen Abständen neue Versionen von Schadsoftware in den Umlauf bringen. So haben die Spezialisten von
G Data CyberDefense im vergangenen Jahr mehr als 4,9 Millionen Schadprogramme identifiziert – pro Tag mehr als 13.500 Varianten.
Zum anderen werden die Täter wählerischer und suchen sich ihre Opfer gezielt aus. Sie planen ihre Angriffe von langer Hand und spionieren das Unternehmen systematisch aus. Dabei suchen sie auch nach bestehenden Schwachstellen im Netzwerk, durch die sie später die Firma attackieren. Das ist auch ein Grund, warum Cyberangriffe immer noch so viel Schaden anrichten: Verantwortliche gehen häufig stiefmütterlich mit dem Thema IT-Sicherheit um. Sie verzichten auf einfachste Security-Massnahmen, sodass die Antivirenlösung sich oft noch im Auslieferungszustand ohne automatische Updates befindet, Logdateien der Firewall ungelesen bleiben oder das Patch-Management einfach abgeschaltet wird.
Allerdings begünstigen auch Menschen immer wieder erfolgreiche Cyberattacken. Im aktuellen Mittelstandsreport von G DATA CyberDefense sind 83 Prozent der Befragten davon überzeugt, dass ihre Mitarbeiter Ursache für einen Sicherheitsvorfall sein können. Denn ein unachtsamer Mitarbeiter ist die niedrigste Hürde für den Angriff. Sie schützen ihre Geräte nur mit schwachen Passwörtern oder fallen auf Phishing-Mails herein und öffnen den Anhang einer Mail, der Schadsoftware enthält.
Hier wacht der Mitarbeiter
Es ist klar: Technische Schutzmassnahmen wie eine Firewall und Endpoint-Protection reichen alleine nicht aus, um Unternehmensnetzwerke und wertvolle Daten zu schützen. Aufmerksame Mitarbeiter leisten einen wichtigen Beitrag, um Angriffe auf die IT abzuwehren. Diese Erkenntnis macht sich auch bei immer mehr KMU breit. Allerdings können sie solche Projekte oft nicht aus eigener Kraft stemmen. Sie setzen auf Schulungsangebote von IT-Dienstleistern, die diese auf Basis ihrer langjährigen Erfahrung realisiert haben.
Der aktuelle Trend geht Richtung E-Learning. Denn ab einer bestimmten Unternehmensgrösse lassen sich verpflichtende Vor-Ort-Trainings kaum noch umsetzen. Mindestens ein Mitarbeiter ist krank, im Urlaub oder dienstlich unterwegs. Und der Aufwand, zusätzliche Termine für diese Mitarbeiter zu organisieren, steigt nahezu exponentiell. Ausserdem sind E-Learnings kostengünstig, weil Reisekosten entfallen und Mitarbeiter nicht mehrere Tage ausser Haus sind.
E-Learnings sind von derartigen Rahmenbedingungen unabhängig. Alle Mitarbeiter erhalten die gleichen Informationen in derselben Form. Kurze Lerneinheiten lassen sich gut in den Arbeitsalltag integrieren. Ein weiterer Vorteil: Neue beziehungsweise aktuelle Lerninhalte lassen sich schnell integrieren und stehen allen Teilnehmern sofort zur Verfügung. Unternehmen können etwa aktuelle Warnungen zu neuen Malware-Kampagnen direkt allen Mitarbeitern zukommen lassen. So sind sie auf Angriffsversuche vorbereitet, die gerade Unternehmen bedrohen. Und nicht zuletzt versetzten E-Learnings Vorgesetzte und Personalverantwortliche in die Lage, den Fortschritt der Angestellten mittels integrierter Testmodule zu checken. Das gelingt aber nur, wenn die Awareness Trainings datenschutzkonform und auf die Vorgaben des Betriebsverfassungsgesetzes abgestimmt sind.
Zeitgemässe Security Awareness Trainings decken das gesamte Themenspektrum der IT-Sicherheit ab. Und beschäftigen sich auch mit den Rahmenbedingungen. Denn nicht nur gesetzliche Vorgaben zum Datenschutz müssen die Angestellten kennen und umsetzen. Auch der Einsatz von mobilen Geräten im Homeoffice oder auf der Dienstreise verlangt einen vertrauensvollen und sicheren Umgang mit Daten. Bevor es aber überhaupt ans Lernen geht, ist ein Einstiegstest unabdingbar. Denn der Wissensstand ist quer durch die Belegschaft sehr heterogen. Während IT-affine Mitarbeiter schon viele Fachbegriffe kennen und ein gutes Sicherheitsbewusstsein haben, benötigen andere Kollegen zusätzliche Basisinformationen. Ein weiterer Vorteil eines Einstiegstests: So lassen sich die Inhalte individuell steuern und priorisieren.
Zeitgemässe Schulungen setzen sowohl Videos, als auch Texte und interaktive Multiple-Choice-Tests ein. Ideal sind kurze Trainingseinheiten. Denn damit bleiben den Mitarbeitern die Inhalte kontinuierlich bewusst. Um den Lerneffekt zu verstärken, zeigen alle Lerninhalte Situationen, die Mitarbeiter aus ihrem eigenen Arbeitsalltag kennen. Sie sind verständlich formuliert und daher besonders für Angestellte ohne technische Vorkenntnisse schnell und einfach nachvollziehbar. Gleichzeitig beinhalten die Schulungen wiederholende Elemente, damit Angestellte neues Wissen auffrischen können, sodass sie es im Langzeitgedächtnis verankern.
Für einen guten Lernerfolg ist ein positives Feedback unerlässlich. So sollten Mitarbeiter nach jeder Einheit eine Rückmeldung erhalten, was richtig und was falsch war. Aber anstelle eines erhobenen Zeigefingers ist eine Erläuterung zielführender, was sie hätten besser machen können. Somit ist auch sichergestellt, dass die Angestellten den Lernplan von Anfang bis zum Ende absolvieren. Eine zusätzliche Motivation bieten Zertifizierungen: Nach einem bestandenen Themenblock erhalten Mitarbeiter eine Urkunde über die erfolgreiche Teilnahme.
Zeit zum Handeln
Angesichts der aktuellen Bedrohungslage kann kein Unternehmen auf derartige Security Awareness Trainings verzichten. Cyberangriffe treffen kleine Unternehmen genauso wie einen internationalen Konzern und verursachen Milliardenschäden. Eine Investition in Security Awareness ist auch eine Investition in die Zukunft des Unternehmens. Firmen können sich dank der Awareness Trainings gut im Wettbewerb positionieren. Sie zeigen ihren Kunden, dass sie das Thema IT-Sicherheit ernst nehmen und den Schutz ganzheitlich angehen.
Die inhaltliche Verantwortung für den Artikel liegt bei
G Data CyberDefense AG.
