Von Erich Kron, Security Awareness Advocate, KnowBe4
Cyberangriffe breiten sich immer weiter aus und verursachen Chaos in Unternehmen, die versuchen, mit dem Schutz ihrer Systeme, Netzwerke und Infrastruktur Schritt zu halten. Mitarbeiter sind zumeist die letzte Verteidigungslinie, wenn es um den Schutz von Unternehmen geht, denn bekanntermaßen kann ein falscher Klick auf einen Link oder das Herunterladen eines bösartigen Anhangs im schlimmsten Fall das gesamte Unternehmen zu Fall bringen.
Sicherheitsexperten in Unternehmen schulen ihre Mitarbeiter am besten darin, nach Cyberangriffen Ausschau zu halten, indem sie häufige und konsequente Schulungen zum Sicherheitsbewusstsein durchführen. Wenn die Unternehmen ihren Mitarbeitern simulierte Phishing-Angriffe senden, dann verstehen diese, wie ein echter Cyberangriff aussehen könnte. So können sie diese Fähigkeit auf eine Weise üben, die für das Unternehmen kein Risiko darstellt. Eine geeignete Meldestruktur für Mitarbeiter, die verdächtige Phishing-E-Mails, Vishing-Anrufe oder andere Arten von Angriffen melden, ist ebenfalls entscheidend für die Sicherheit eines Unternehmens.
Noch mehr Gefahren durch Home Office
Die Herausforderungen bei der Abwehr von Cyberangriffen sind durch die Popularität der Fernarbeit im Zuge der COVID-19-Pandemie erheblich gestiegen. Aus diesem Grund ist die Kommunikation zwischen Unternehmen und Mitarbeitern von größter Bedeutung. In einer klaren Kommunikation sollte dargelegt werden, welche Erwartungen an die Mitarbeiter gestellt werden, die zu einer Remote-Arbeitsstruktur übergegangen sind, und wie diese logistisch funktionieren wird.
Es kann vorkommen, dass Mitarbeiter bei der Fernarbeit schlechte Sicherheitspraktiken anwenden. Beispielsweise nutzen sie ihre Geräte gemeinsam, haben Unternehmensdaten auf persönlichen Geräten, sperren ihren Computer nicht, wenn sie ihn unbeaufsichtigt lassen oder nutzen Unternehmensgeräte für private Zwecke. Diese Arten von Problemen werden oft übersehen. Abgesehen von der Technologie könnten auch physische Aufzeichnungen und Assets den Weg in die Wohnungen der Mitarbeiter gefunden haben. Es ist auch schwierig festzustellen, ob sensible Informationen ausgedruckt und gesichert oder sicher entsorgt wurden. Aus technologischer Sicht ist es ratsam, die Unternehmensgeräte, die über einen längeren Zeitraum nicht mit dem Unternehmensnetz verbunden waren, auf ihre Hygiene zu überprüfen und sicherzustellen, dass sie gepatcht sind und keine unerwünschten oder bösartigen Anwendungen enthalten.
Aufbau einer Sicherheitskultur
Es ist entscheidend, dass die Richtlinien einer Organisation den Mitarbeitern klar vermittelt und auf leicht verständliche Weise wiederholt und verstärkt werden. Eine einmalige Schulung zu einem beliebigen Aspekt, sei es Sicherheit, Umstellung auf Fernarbeit oder neue Verfahren, reicht nicht aus. Vielmehr sollten Unternehmen dies weniger als Schulung, sondern vielmehr als eine Art interne Marketingmaßnahme betrachten, bei der kleine, leicht verdauliche Botschaften über einen längeren Zeitraum hinweg über verschiedene Kommunikationskanäle vermittelt werden.
Eine starke Sicherheitskultur entsteht, wenn die Mitarbeiter verstehen, warum Sicherheit wichtig ist, und wenn sie über die Mittel und die Ausbildung verfügen, um ihre Aufgaben auf sichere Weise zu erledigen. Das Thema Sicherheit sollte in den täglichen Gewohnheiten der Mitarbeiter verankert sein und durch Botschaften von Führungskräften innerhalb des Unternehmens verstärkt werden. Nur dann kann am Safer Internet Day – und an jedem anderen Tag des Jahres – mit dem nötigen Maß an Sicherheit gearbeitet werden.
Weitere Artikel
KnowBe4 und Cyber Samurai GmbH kooperieren für Security Awareness Managed Services
KnowBe4 fügt seiner Plattform Deutsch und fünf weitere Sprachen hinzu und startet das Automated Security Awareness Program (ASAP) 2.0
KnowBe4 veröffentlicht Benchmark-Studie: Mitarbeiter als größte Risiko für Unternehmen
Tippverhalten-basierte Sicherheitslösung kompromittiert