Durch technische Maßnahmen wie Endpoint Protection Software, Firewalls Back-up-Systeme, MFA, IdM-Systeme und eine Vielzahl von Security Tools unterschätzen viele Mitarbeitende Cybersecurity-Gefahren. Teilen Sie diese Ansicht?
Matthias Koll: Ein klares Ja. Technologische Schutzmaßnahmen erzeugen ein falsches Sicherheitsgefühl. Aus Sicht vieler Mitarbeitenden liegt die Verantwortung für die unternehmensweite IT-Sicherheit bei den Fachleuten, die mit teuren Systemen für Schutz sorgen. Daher denken viele Angestellte gar nicht daran, dass sie Teil eines Sicherheitskonzepts sind. Verantwortliche denken, wenn sie mehr in Technik investieren, steigt automatisch auch die Sicherheit. Das ist aber ein Trugschluss. Denn es fehlt vielen Unternehmen an Manpower, um die Technik zu bedienen und richtig zu konfigurieren.
Wie bei vielen Unglücken, so ist auch im IT-Bereich nicht technisches Versagen die Ursache für Sicherheitsvorfälle, sondern menschliches Versagen. Was kann man dagegen tun?
Matthias Koll: IT-Sicherheit muss heute auf mehrere Säulen verteilt werden. Technik alleine schützt kein Unternehmen vor Cyberattacken. Und gerade den menschlichen Faktor in die IT-Sicherheit einzubeziehen, die so genannte Human Centered Security, haben viele Firmen vernachlässigt. Allerdings hat bereits ein Umdenken stattgefunden. Unternehmen setzen verstärkt auf eine ganzheitliche IT-Sicherheit, bei der Mitarbeitende ein wichtiger Bestandteil sind. Um alle Angestellten für aktuelle Cybergefahren zu sensibilisieren, werden Security Awareness Trainings genutzt. Im Fokus steht die Erhöhung der Aufmerksamkeit der Mitarbeitenden gegenüber verschiedener Cyberrisiken und -gefahren.
Es heißt immer, eine Kette ist nur so stark wie das schwächste Glied. Bei Mitarbeiterzahlen von mehreren hundert oder tausend Mitarbeitenden ist der Maßstab also der Mitarbeitende, der am sorglosesten mit Sicherheitsmaßnahmen umgeht?
Matthias Koll: Natürlich reicht eine unaufmerksame Person, die den Anhang mit Schadsoftware einer E-Mail öffnet oder den Link zu einer gefälschten Webseite anklickt, um Cyberkriminellen die Tür ins Unternehmen zu öffnen. Allerdings ist die Annahme falsch, dass die Gefahr mit der Unternehmensgröße zunimmt. Denn grundsätzlich ist die IT-Sicherheit bei größeren Firmen besser aufgestellt – es gibt Budget und Mitarbeitende für den Schutz des Netzwerks. Mit der Unternehmensgröße verändern sich die Herausforderungen in Bezug auf IT-Sicherheit. In größeren Unternehmen ist auch die Komplexität des Netzwerks höher und damit auch deren Absicherung. Natürlich ist der Schulungsaufwand für größere Unternehmen auch höher als bei kleinen und mittelständischen Betrieben.
Phishing-Attacken sind bei Weitem ein einfacher und beliebter Angriffsvektor für Cyberkriminelle geworden.
Matthias Koll: Phishing funktioniert seit 30 Jahren – obwohl wir seit 30 Jahren in Mail-Security und Spamfilter investieren. Sicherlich sind Phishing-Mails qualitativ besser geworden. Sie werden heute längst nicht mehr im Namen angeblicher Prinzen, Diplomaten oder Geschäftsleute versendet, sondern sehen wie ganz normale Geschäftsvorgänge aus. Es landen weiterhin unzählige Massenmails in den Postfächern, aber die Gefahr durch gezielte Attacken hat zugenommen. Solche sogenannten Spear-Phishing-Mails sind von echten Nachrichten kaum zu unterscheiden.
Wie können Unternehmen trotz dieser Entwicklung für mehr Sicherheit sorgen?
Matthias Koll: Dies kann gelingen, indem wir das menschliche Verhalten updaten – mit Security Awareness Trainings. Diese Schulungen stellen den Menschen in den Mittelpunkt, nicht die Technik. Der Fachbegriff dafür lautet: Human Centered Security. Mit diesen Trainings lässt sich gezielt nicht nur Aufmerksamkeit im wörtlichen Sinne, sondern ein generelles Umdenken erreichen. Mitarbeitende verstehen, welchen Beitrag sie für die IT-Sicherheit des eigenen Unternehmens leisten können. Sie erkennen dabei, welche Auswirkungen ihr Verhalten hat: Denn mit dem richtigen Verhalten schützen sie nicht nur sich selbst und ihr eigenes Postfach, sondern ihren Arbeitgeber und damit auch die Arbeitsplätze der Kolleg*innen.
Mehr lesen Sie auf it-daily.net
In dem Interview werden folgende weitere Fragen beantwortet:
Welche Themenfelder sind in dm Bereich Security Awareness die wichtigsten und wie kann man sie strukturieren?
Phishing-Angriffe werden immer zielgruppenspezifischer. Welches sind typische Anwenderfehler?
Wie sieht modernes E-Learning aus?
Ist Storytelling der richtige Lösungsansatz?
Gamification – was hat es damit auf sich?
Mitarbeitende für gefährliche Phishing-Versuche sensibilisieren
Allzu leicht fallen Menschen auf Phishing-Mails rein und ermöglichen Cyberkriminellen einen direkten Zugriff auf IT-Systeme. Security Awareness Trainings oder eine Phishing-Simulation verbessern das Wissen der Angestellten sowie das Schutzniveau im Unternehmen.
Mehr lesen Sie auf it-daily.net
Angestellte für IT-Security sensibilisieren – nachhaltig lernen mit Gamification und Storytelling
Wer Cyberattacken auf Unternehmen abwehren will, braucht mehr als nur Schutztechnologien. Ein ganzheitliches Schutzkonzept bezieht auch Mitarbeitende ein.
Mehr lesen Sie auf it-daily.net