Security Awareness für eine umfassende Cybersicherheit
Ransomware-Attacken, Distributed-Denial-of-Service-Angriffe (DDoS), Schad-Software oder Phishing: Unternehmen müssen jederzeit gegen Angriffe von Cyberkriminellen gewappnet sein. Die Bedrohung im Cyberraum ist „so hoch wie nie“, heißt es im Bericht „Die Lage der IT-Sicherheit in Deutschland 2022“ des Bundesamts für Sicherheit in der Informationstechnik (BSI). Fast die Hälfte aller deutschen Unternehmen war 2022 Opfer mindestens eines Angriffs aus dem Internet, meldet Statista.
Um sich vor solchen Attacken zu schützen und sie abzuwehren, brauchen Firmen zunächst eine ganzheitliche Sicherheitsstrategie und natürlich entsprechende technische Lösungen, die Netzwerke und Schnittstellen abschotten, Viren abfangen sowie Patches und Updates einspielen und Systeme sicher konfigurieren. Aber das allein reicht nicht aus. Diese Schutzmaßnahmen erschweren es Angreifern zwar, direkt in Netzwerke einzudringen. Aber ihnen steht oft ein anderes Einfallstor offen: die Mitarbeiter. 95 Prozent aller Cybersecurity-Vorfälle gehen auf menschliche Fehler zurück, heißt es im Global Risks Report 2022 des Weltwirtschaftsforums. Diese entstehen durch fahrlässiges Verhalten einerseits und Unwissen andererseits.
Kennen Mitarbeiter drohende Gefahren nicht, haben Kriminelle leichtes Spiel. Umfassende Security- Awareness-Maßnahmen sensibilisieren die Beschäftigten für mögliche Probleme und Gefahren. Erst wenn diese über entsprechendes Wissen verfügen, können sie sich sicher verhalten.
Sichere Passwörter schützen Netzwerke und Programme
Aus dem Homeoffice wichtige Programme öffnen oder Daten laden: Für solche Aufgaben ist eine Authentifizierung notwendig, damit sich Unbefugte keinen Zugriff verschaffen können. Die Verwendung eines Passworts ist eine sichere Methode – aber nur, wenn es stark ist.
Daran hakt es häufig. 30 Prozent aller Anwender nutzt für verschiedene Dienste das gleiche Passwort, so eine Umfrage des Digitalverbands Bitkom. Vielen ist zudem nicht bewusst, dass sich Anforderungen an die Passwortsicherheit ändern. Viele Begriffe und Wortkombinationen können Kriminelle mithilfe automatischer Brute-Force-Attacken blitzschnell erraten.
Das Wissen über und die Nutzung von starke/n Passwörtern gehören zu den wichtigsten Pfeilern von Security Awareness.
Social Engineering erkennen und vermeiden
Beim Social Engineering versuchen Kriminelle, Anwender zur Herausgabe sensibler Daten oder zur Installation von Schadsoftware zu bewegen. Sie täuschen ihre Opfer geschickt über ihre Identität und ihre Absichten. Mitarbeiter geben dann Informationen bereitwillig heraus oder ermöglichen den Zugriff auf wichtige Systeme.
Solche Attacken über Phishing, Spear Phishing oder CEO Fraud nehmen zu. Fast jedes zweite Unternehmen berichtet von Manipulationsversuchen, heißt es in einer Bitkom-Studie. Weil Social Engineering ohne Menschen, die darauf hereinfallen, nicht möglich wäre, ist Security Awareness in diesem Bereich entscheidend.
Datenschutz: Informationen sicher speichern und nutzen
Sensible Daten von Kunden, Partnern und Mitarbeitern dürfen keinesfalls in die Hände von Unbefugten geraten. Zum Schutz solcher Informationen verpflichtet auch die EU-Datenschutzgrundverordnung (DSGVO) Unternehmen in der EU.
Um das sicherzustellen, werden nicht nur technische Lösungen wie Verschlüsselung benötigt. Security Awareness heißt, dass Mitarbeiter wissen, welche Daten wie geschützt, gespeichert und verarbeitet werden – und welches Risiko in ihnen steckt.
Mit Schulungen und Trainings zu Cybersecurity sensibilisieren
Schulungen sind ein sinnvolles Tool, um Mitarbeiter für alle Security-Awareness-Themen zu sensibilisieren. Idealerweise finden sie regelmäßig statt, um das Wissen aufzufrischen. Nur wenn korrekte Verhaltensweisen immer wieder geübt werden, sind die Kenntnisse im Ernstfall abrufbar. Schulungen sind darum ein wichtiger Baustein einer ganzheitlichen Cybersecurity-Strategie. Besonders effektiv sind ergänzende Trainings und simulierte Attacken.
