10 Jul 2017

Der Faktor-Mensch: Können Angestellte lernen keine Fehler zu machen?

Business

Wir gehen bereits seit Langem davon aus, dass technische Mittel nicht ausreichen, um ein Unternehmen vor Cyberbedrohungen zu schützen. Es ist einer einzigen Person durchaus möglich, die Wirkung eines gesamten Teams für Informationssicherheit aufzuheben. In vielen Fällen ist dies meist unbeabsichtigt und die Folge von fehlendem Cybersicherheitswissen, abgelenkter Aufmerksamkeit oder weil Bedrohungen schlichtweg nicht bemerkt werden. Deshalb investieren viele Unternehmen bereits in Cybersecurity-Awareness-Trainings ihrer Angestellten (unseren Daten zufolge rund 65%).

An dieser Stelle könnten allerdings Schwierigkeiten auftreten. Die Person, die entscheidet, dass das Sicherheitsbewusstsein der Mitarbeiter nicht ausreichend ist, muss nicht unbedingt dieselbe Person sein, die dafür zuständig ist das Training zu arrangieren. Und obwohl die erste Person ein deutliches Problem erkannt hat, weiß die andere Person eventuell gar nicht was ein Cybersecurity-Awareness-Training ist, wie Angestellte geschult werden oder warum das Training überhaupt notwendig ist.

Das Problem verstehen

Stellen wir uns vor, dass Sie dazu beauftragt worden sind, die Cybersecurity-Awareness der Mitarbeiter zu steigern. Zu allererst: Was bedeutet  Cybersecurity-Awareness eigentlich? Für die Antwort auf diese Frage haben wir mit dem Marktforschungsunternehmen B2B International zusammengearbeitet und Informationen von 5000 Unternehmen weltweit über das Verständnis des Problems und die Folgen gewisser Cybersicherheitsvorfälle durch einzelne Mitarbeiter zusammengefasst. Folgendes haben wir herausgefunden:

  • Bei 46% der Vorfälle in der Vergangenheit waren Angestellte beteiligt, die die Cybersicherheit ihres Unternehmens, gewollt oder ungewollt, gefährdet haben;
  • Von den Unternehmen, die von Malware betroffen sind, sagten 53% aus, dass die Infizierung nicht ohne die Hilfe nachlässiger Angestellte passiert wäre und 36% schieben die Schuld auf Social Engineering: das heißt, dass jemand die Angestellten mit Absicht ausgetrickst haben soll;
  • Gezielte Angriffe (einschließlich Phishing und Social Engineering) waren in 28% der Fälle erfolgreich;
  • In 40% der Fälle versuchten Angestellte den Vorfall zu vertuschen und haben so lediglich den Schaden und die Gefährdung der Sicherheit des Unternehmens gesteigert;
  • Fast die Hälfte der Befragten sorgen sich darum, dass ihre Angestellten unabsichtlich Firmeninformationen durch mobile Geräte, die Sie mit zum Arbeitsplatz bringen, preisgeben.

Um den gesamten Forschungsbericht (auf Englisch) zu lesen, besuchen Sie den folgenden Link. Der Bericht beantwortet ausführlich die Frage, warum man sich Gedanken um die Steigerung der Cybersicherheit machen sollte.

Cybersecurity-Awareness lehren

Wie das Ganze abläuft ist ebenfalls sehr wichtig. Es stehen viele Kurse, Vorlesungen und Workshops zur Verfügung. Aber Schulungen bedeuten auch Geld und Zeit zu investieren; der Kunde muss sich sicher sein, dass der Aufwand  auch Früchte trägt.

Betrachten wir zum Beispiel das Problem, dass viele Vorfälle schlichtweg vertuscht werden. Sie können Ihre Angestellten zusammenrufen und sie darüber aufklären wie wichtig es ist Cybersicherheitsvorfälle zu melden. Daraufhin werden Ihnen diese vermutlich antworten, dass sie alles verstanden haben– und vertuschen dann weiterhin solche Vorfälle, in der Hoffnung sich der Verantwortung zu entziehen.

Ein besserer Ansatz ist es, zu allererst die Beweggründe Ihrer Mitarbeiter zu verstehen. In vielen Fällen wurden Mitarbeiter zwar über strenge Regeln von ihren Managern oder Security Officern informiert aber niemand hat ihnen die Regeln tatsächlich erklärt. Manchmal müssen Management und Security Officer lernen, Ihren Mitarbeitern die Regeln nicht nur in der Theorie zu erklären.

Wissen, was gelehrt werden soll

Um den ausgefeilten Cyberbedrohungen standzuhalten, muss ein Unternehmen als gesunder Organismus funktionieren, der aus Teams besteht, die unterschiedliche Verantwortungen und Aufgaben übernehmen. Natürlich heißt das, dass jedes Team über verschiedene Dinge Bescheid wissen muss. Das Firmenmanagement muss sich über Risiken bewusst sein und detailliert das finanzielle Potenzial, sowie die Reputationskosten des Unternehmens verstehen. Die Bereichsleiter und Security Officer müssen darüber Bescheid wissen, wann sich Bedrohungen abzeichnen und die Fähigkeit haben Maßnahmen zu ergreifen, die die Cyberbelastbarkeit erhöhen. Abgesehen davon müssen Sie fähig sein angebracht mit dem Rest der Angestellten zu kommunizieren. Für Spezialisten zählt weniger das Wissen über Bedrohungen als die Fähigkeit, diese Bedrohungen zu vermeiden.

Deshalb beinhaltet unser Trainingansatz die Aufteilung der Angestellten in Dienstbereich und Tätigkeit.

Um mehr zu erfahren oder Schulungen für Ihre Angestellten zu buchen, füllen Sie bitte das folgende Formular aus. Unsere Experten setzen sich dann mit Ihnen in Verbindung.