Site Logo

Aufbau einer auf Sicherheit ausgerichteten Kultur im Cybersecurity Awareness Month

Themen: National CyberSecurity Awareness Month und European CyberSecurity Month
2. Nov.. 2021
|
Phil Muncaster

Im Oktober war sowohl in Nordamerika als auch in Europa der Monat der „Cybersecurity Awareness“. Beide Kontinente haben in diesem Jahr dem Nutzerverhalten besondere Aufmerksamkeit geschenkt. Für die EU ist das Motto für 2021 „Erst denken, dann klicken“, in den USA: „Do your part. Be cyber smart“ (Trage deinen Teil bei. Sei cyber-smart.) Der erste Schritt zu einer dauerhaften Verhaltensänderung ist die Stärkung des Risikobewusstseins, um langfristig die Cybersicherheit in allen Bereichen der Wirtschaft und bei den Verbrauchern zu verbessern. In der Unternehmenswelt ist der Wandel nie einfach, aber er bleibt ein erstrebenswertes Ziel.

Die Fokussierung auf den Nutzer ist angebracht, denn beim Thema Sicherheit geht es letztendlich um Menschen. Es sind Ihre Mitarbeiter, die durch Phishing-E-Mails getäuscht werden können. Es sind Menschen, die sie täuschen. Daher sollten die Bemühungen zur Steigerung der Cyber-Resilienz bei Ihren Nutzern ansetzen. Die Frage ist: Wie baut man eine Kultur des Sicherheitsbewusstseins auf?

Warum gerade jetzt?


Die Menschen verhalten sich im Internet seit Jahrzehnten falsch. Doch die Auswirkungen ihrer Fehler und die Häufigkeit, mit der sie ins Visier genommen werden, sind heute größer als je zuvor. Dies hängt zum Teil mit der Pandemie zusammen, in deren Folge Mitarbeiter monatelang von zu Hause aus arbeiten mussten. Untersuchungen ergaben, dass die Menschen außerhalb des Büros mehr Risiken eingingen, dass sie stärker durch Haushaltsmitglieder abgelenkt wurden und dass sie seltener Kollegen um Hilfe baten.

Eine Studie vom Anfang dieses Jahres ergab, dass sogar 30 % der Büroangestellten zugaben, dass sie jemand anderem erlaubt hatten, ihren Arbeitslaptop zu benutzen, z. B. für Einkäufe, Internet-Downloads, Gaming und Streaming. Weitere (53 %) gaben an, dass sie potenziell unsichere und nicht verwaltete private Geräte für die Arbeit nutzen. Insider-Risiken sind auch weiterhin für die Mehrzahl der Datenschutzverletzungen verantwortlich, die der britischen Aufsichtsbehörde, dem Information Commissioner's Office (ICO), gemeldet werden.

In einer separaten Studie wurde festgestellt, dass menschliches Versagen in 84 % der Fälle die Hauptursache für schwerwiegende Insiderverstöße war. Die Studie ergab, dass drei Viertel (74 %) der befragten Unternehmen Opfer von Sicherheitsverletzungen wurden, weil Mitarbeiter gegen Sicherheitsregeln verstießen, und eine ähnliche Anzahl (73 %) wurde Opfer von Phishing-Angriffen. Die Auswirkungen können enorm sein. Laut einer Schätzung stiegen die durchschnittlichen Kosten für Insider-Bedrohungen im Verlauf von zwei Jahren um 31 % und werden im Jahr 2020 11 Millionen USD übersteigen.

Was macht eine Kultur der Sicherheit aus?


Es ist wichtig, Ihre Mitarbeiter dazu zu bewegen, mehr über die Best Practices für Sicherheit nachzudenken, da Technologie unerwünschte Ereignisse nicht zu 100 % verhindern kann. Sie können die beste Anti-Malware der Welt haben, aber wenn ein Mitarbeiter Opfer eines Phishing-Angriffs wird, haben Cyber-Kriminelle mit den erhaltenen Zugangsdaten direkten Zutritt. Sobald sie im Netzwerk sind, gibt es kein Halten, denn sie sind Meister der Technik und legitimer Tools, um laterale Bewegungen zu erreichen. Dies ist teilweise der Grund, warum die durchschnittliche Zeit, die zur Identifizierung und Eindämmung eines Verstoßes benötigt wird, jetzt 287 Tage beträgt.

Was macht also eine sicherheitsorientierte Kultur aus? Laut dem National Cyber Security Centre (NCSC) kann sie auf drei Schlüsselkonzepte reduziert werden:

  • Immer an die Maßnahmen denken, die Sie aus Sicherheitsgründen setzen sollten.

  • Diese Maßnahmen konsequent, zur richtigen Zeit und unter den richtigen Umständen umsetzen.

  • Einer sicheren Vorgehensweise Priorität einräumen, je nach Situation.


Ein entscheidender Einwand lautet, dass es unter gewissen Umständen besser ist, eine Aufgabe zu erledigen als sie zu ignorieren, selbst wenn der Sicherheitsaspekt dabei zu kurz kommt. Es ist der alte Streit darüber, ob die Sicherheit oder die Produktivität Vorrang haben sollte.

Erste Schritte mit Schulungen zum Sicherheitsbewusstsein


Ein guter Ansatz sind regelmäßige Schulungen zur Stärkung des Risikobewusstseins für alle Mitarbeitenden. Angesichts der vielen Optionen auf dem Markt kann es jedoch schwierig sein, die beste Lösung für Ihr Unternehmen zu finden. Bedenken Sie Folgendes, um optimale Resultate zu erzielen:

  • Regelmäßige kurze Lektionen abhalten – 10 bis 15 Minuten

  • Einbeziehen aller Beschäftigten – vom CEO bis hin zu Zeitarbeitern und Freelancern

  • Simulationen aus dem echten Umfeld erhöhen die Relevanz; ihre Mitarbeiter lernen so die neuesten Betrugsmaschen kennen, die im Internet kursieren

  • Lösungen wählen, die eine Analyse der Ergebnisse zur Verbesserung der Programme ermöglichen


Welche Themen gehören dazu?


Neben Phishing sollten Sie auch andere Elemente von Best-Practice-Sicherheitsprozessen in Ihre Schulungen aufnehmen. Nützlich sind auch:

  • Die Verwaltung von Passwörtern

  • Das Erkennen von Betrug mit kompromittierten Geschäfts-E-Mails

  • Tipps zum Umgang mit Daten und zum Datenschutz

  • Meldung neuer Betrugsmaschen/Bedrohungen

  • Warum es wichtig ist, keine beruflichen E-Mails/Logins für die Anmeldung von privaten Kundenkonten zu verwenden


Über die Schulung hinaus


Außer der Stärkung des Risikobewusstseins gibt es natürlich weitere Aspekte, wie man ein sicherheitsbewusstes Unternehmen schafft. Im Idealfall handelt es sich um einen „unternehmensweiten“ Ansatz, der Folgendes umfasst:

  • Die Entwicklung von einfach zu handhabenden Sicherheitsrichtlinien und -tools, die die Produktivität unterstützen.

  • Eine Kultur, in der Transparenz und Ehrlichkeit belohnt werden – Mitarbeiter sollten nicht das Gefühl haben, eine Verwarnung zu riskieren, wenn sie versehentlich gegen die Regeln verstoßen.

  • Eine IT-Abteilung, die bereit ist, ad hoc zu schulen, zu informieren und zu beraten.

  • Eine Sicherheitskultur, die die verschiedenen Geschäftsbereiche umfasst

  • Aktive Beteiligung auf allen Unternehmensebenen

  • Ein Sicherheitsverantwortlicher im Vorstand, der von Anfang an bei neuen Projekten konsultiert wird.


Es geht darum, die Sicherheit in die Struktur des Unternehmens zu integrieren, sodass es für die Mitarbeiter selbstverständlich ist, die richtigen Entscheidungen zu treffen, und der offene Dialog einer Schatten-IT vorgezogen wird. Bei dem, was heute auf dem Spiel steht, sollte die Cybersicherheit niemals ein Nebengedanke sein.

Holen Sie sich das kostenlose Phishing-Bewusstseinspaket.

Phil Muncaster

Phil Muncaster ist technischer Redakteur und Herausgeber mit über 12 Jahren Erfahrung bei einigen der größten Technologiepublikationen auf dem Markt, darunter Computing, The Register, V3 und MIT Technology Review. Er verbrachte mehr als zwei Jahre in Hongkong und konnte dadurch tief in die asiatische Technologieszene eintauchen. Jetzt ist er nach London zurückgekehrt, wo die Informationssicherheit zu einem wichtigen Schwerpunkt seiner Arbeit geworden ist.

Folgen Sie Phil auf Twitter und vernetzen Sie sich auf LinkedIn mit ihm.

Verwandte Beiträge:
Aufbau einer auf Sicherheit ausgerichteten Kultur im Cybersecurity Awareness Month
Aufbau einer auf Sicherheit ausgerichteten Kultur im Cybersecurity Awareness Month
 Steht bei Ihnen die Cybersicherheit an erster Stelle? 7 Fragen, die Sie sich stellen sollten
Steht bei Ihnen die Cybersicherheit an erster Stelle? 7 Fragen, die Sie sich stellen sollten
 Was kommt nach dem Monat des Bewusstseins für Cybersecurity als Nächstes?
Was kommt nach dem Monat des Bewusstseins für Cybersecurity als Nächstes?
 Cybersecurity awareness is no substitute for actual end user training
Cybersecurity awareness is no substitute for actual end user training