Was ist Security Awareness?
02. Juni 2020
Verfasst von Julia Schreiber
Bild: © TheDigitalArtist - Pixabay.com
Informierte Mitarbeiter sind ein zentraler Faktor, um das Sicherheitsniveau im Unternehmen erhöhen. Wenn sie denn informiert sind: Das BSI, die zentrale Bundesbehörde für IT-Sicherheit in Deutschland, mahnt Unternehmen regelmäßig an, die „digitale Eigenverantwortung“ ihrer Mitarbeiter zu stärken und sie regelmäßig für IT-Sicherheitsaspekte zu sensibilisieren – und genau das meint Security Awareness.
Die Relevanz des Themas verdeutlicht eine G DATA-Umfrage aus dem vergangenen Jahr: Rund 1.100 neue Varianten der Ransomware GandCrab entdeckten die Cyber-Defense-Spezialisten – pro Tag! Die im ersten Halbjahr sehr aktive Erpressersoftware gelangte zum Beispiel über gefälschte Bewerbungsmails mit Word-Anhängen in die Postfächer zahlreicher Personalabteilungen und verschlüsselte anschließend Unternehmensdaten. Bei Bot-Infektionen verzeichnete das BSI in seinem „Lagebericht der IT-Sicherheit 2019“ sogar rund 110.000 Infektionen täglich.
Theoretisches Wissen ist gut, praktische Anwendung besser
Reicht es also, wenn im Unternehmen ein grundsätzliches Problembewusstsein für Schadsoftware vorhanden ist? Forscher des Karlsruher Institut für Technologie (KIT) sehen weitere Dimensionen: Nach der Wissensvermittlung müsse dieses Wissen zunächst in gestellten Situationen und später im Berufsalltag angewendet werden können, so Prof. Dr. Melanie Volkamer, Leiterin der Forschungsgruppe SECUSO in ihrem Vortrag bei InterConnect.
Dabei müsse berücksichtigt werden, welche Fähigkeiten der jeweilige Mitarbeiter hat. Denn IT-Sicherheit dürfte für die meisten Mitarbeiter in ihren täglichen Abläufen eine geringe Rolle spielen: Hauptsache die IT funktioniert, Sicherheitsaspekte werden oft als nachrangig empfinden. Und wenn die IT vermeintlich Abläufen „im Weg steht“, installieren Mitarbeiter zum Beispiel Schatten-IT (was ein Sicherheitsrisiko darstellt) oder finden andere "kreative" Wege um ihre Arbeit zu erledigen. Deshalb sollte alle Unternehmensmitarbeiter für IT-Sicherheitsthemen sensibilisiert werden.
Vorteile von Security Awareness Trainings
Eine Möglichkeit, Mitarbeiter für solche Themen zu sensibilisieren, sind Schulungen, sogenannte Security Awareness Trainings. Diese gibt es auch als Online-Kurse: In kurzen Lerneinheiten von 5-20 Minuten wird zum Beispiels mittels Multiple-Choice-Fragen oder in Videos sicherheitsrelevantes Wissen geschult. Themen können ein gutes Passwortmanagement, der Umgang mit Malware oder auch das Arbeiten in der Cloud sein. Idealerweise sollten sich unternehmensspezifische Themen erstellen oder bestehende Lerneinheiten an individuelle Gegebenheiten anpassen lassen.
Die jeweiligen Lerneinheiten können nach und nach für Mitarbeiter freigeschaltet werden. Wann sie dafür Zeit einplanen, können diese individuell entscheiden. Der Vorteil solcher Trainings ist, dass das Wissen kontinuierlich erworben wird und regelmäßige Wiederholungen den Lernerfolg steigern.
Auf die Rahmenbedingungen achten
Abschließend noch einige technologieunabhängige Aspekte zum Thema Security Awareness: Auch die Führungsriege sollte Informationssicherheit vorleben. Etablieren Sie zudem eine offene Fehlerkultur – jeder kann Opfer eines Cyberangriffs werden und umso wichtiger ist es, den angstfreien Austausch zu pflegen.
Sie benötigen weitere Informationen zu Security Awareness Trainings oder Unterstützung bei der Auswahl einer geeigneten Lösung? Wir beraten Sie gerne!
