luckycloud Adventskalender

Security-Tipp #18

Liebe Leserinnen und Leser,

bevor viele von Ihnen nächste Woche in Ihren wohlverdienten Weihnachtsurlaub gehen, wollen wir heute die wohl größte Schwachstelle von IT-Systemen und ein begehrtes Angriffsziel von Cyberkriminellen behandeln: Den digitalen Arbeitsplatz zwischen Bequemlichkeit, Unachtsamkeit und Sicherheit.

Tipp #18:
Security-Awareness am Arbeitsplatz schaffen

Die erste Anlaufstelle von Cyberkriminellen ist meistens der unachtsame Mitarbeiter, der zwar in seinem Arbeitsgebiet ein Experte sein mag, dem aber das entsprechende Wissen und teilweise auch das Interesse an IT-Security-Themen fehlt.

Viele Unternehmen fangen meistens bei der Absicherung Ihrer IT-Systeme an, indem sie Firewalls, Virenscanner, Verschlüsselungen, Backups, etc. einrichten. Dieser Basisschutz ist bitter notwendig. Allerdings vergessen viele bei der Erstellung einer IT-Security-Strategie, dabei die Menschen einzubeziehen.

All diese technischen Maßnahmen sind am Ende wirkungslos, wenn die Angreifer die Arbeitsplätze von den Mitarbeitern direkt angreifen. Immer öfter sind nicht die Server die Einfallstore für die Verbreitung von Schadsoftware, sondern die Personen, die diese Systeme schlussendlich nutzen.

Während sich viele IT-Sicherheitsbeauftragte auf die technische Absicherung der IT-Systeme konzentrieren, bewegen sich Cyberkriminelle auf sozialen Netzwerken, sammeln Informationen über ihre potenziellen Opfer heraus und versenden zielorientiert Phishing-Mails. Damit würde all diese Absicherung mit einem Klick zunichte gemacht werden.

IT-Security als Teil der Unternehmenskultur

An IT-Security denken die meisten Unternehmer viel zu spät. Wie ein Endpoint-Security-Experte mal zu uns meinte: „Es wird als eine Art magisches Pulver betrachtet, das man nachträglich drüberstreuen kann.“

Wenn die Unternehmensleitung und Führungskräfte diese Themen als notwendiges Übel betrachten, dann fühlen sich die Mitarbeiter umso weniger dafür verantwortlich. Nicht selten denken Anwender: „Die IT-Abteilung wird sich schon um die Absicherung der Systeme gekümmert haben. Ich habe damit nichts zu tun.“

Diese Denk- und Verhaltensweisen können Führungskräfte beeinflussen, indem die Sicherheitsproblematiken regelmäßig im Team besprochen werden. Es werden regelmäßige Awareness-Trainings auf allen Ebenen gebraucht, die auf die Sensibilisierung der entsprechenden Mitarbeiter zugeschnitten sind.

Hierfür gibt es spezielle Programme, die meist zu Beginn unangekündigte Phishing-Tests enthalten, von denen die Mitarbeiter nichts wissen. Mit dieser Art von Schocktherapie wird wirkungsvoll das Interesse geweckt, um im Anschluss diverse Coachings durchzuführen, die das Sicherheitsbewusstsein erhöhen sollen. In solchen Trainings gehen die Mitarbeiter diverse Fallbeispiele durch, die beispielsweise mittels Videos, Spiele und Wettbewerbe durchgeführt werden. Selbstverständlich müssen Sie die Trainingseinheiten nicht selbst entwickeln. Dafür gibt es schon professionelle Anbieter, die für Sie passende Security-Awareness-Konzepte mit diversen Tests und Schulungsangeboten entwickeln.

Solche Programme sollten nicht nur einmalig durchgeführt werden, sondern regelmäßig stattfinden, um diese Themen langfristig in das Bewusstsein der Mitarbeiter verankern. Für einen langfristigen Unternehmenserfolg kann IT-Sicherheit als fester Bestandteil der Firmenkultur angesehen werden, damit sich alle Abteilungen gemeinsam für die Unternehmenssicherheit einsetzen.

Ein erfolgreiches Beispiel dafür, wäre die Kampagne von Henkel, die unter dem Motto „Shared Responsibility“ läuft. Henkel bezieht aktiv alle Mitarbeiter in IT-Sicherheitsthemen mit hinein und unterrichtet sie regelmäßig über potenzielle Risiken und Gefahren im Netz. Diese Kampagne basiert auf den folgenden drei Strategiesäulen: informieren, weiterbilden und engagieren.

Klingt doch gar nicht so komplex, oder? Prinzipiell ist das Abhalten solcher Workshops nicht schwierig, sondern es ist eher eine Frage, wie man diese Themen im Team angehen möchte. Anstatt langweiligen und demotivierenden Belehrungen können beispielsweise die Awareness-Trainings im Rahmen eines Wettbewerbs als Team-Building-Maßnahme einsetzt werden.

Abschließend wollen wir nochmal betonen, dass ein ausgeprägtes Sicherheitsbewusstsein auf allen Ebenen von großer Bedeutung ist, um sich effektiv vor cyberkriminellen Angriffen zu schützen und demnach fest in Ihre Security-Strategie eingebunden werden sollte.


Wir wünschen Ihnen ein schönes Wochenende und eine sichere Weihnachtszeit!
Sollten Sie ein Tipp verpasst haben, können Sie diese hier nachlesen.

Mit freundlichen Grüßen
luckycloud | Christmas Team

Facebook Twitter LinkedIn Youtube Instagram

luckycloud GmbH
Solmsstraße 26 | 10961 Berlin | Germany
Geschäftsführer: Luc Mader
Sitz der Gesellschaft: Berlin
Registergericht: Amtsgericht Charlottenburg HRB 169276
+49 30 814 570 920 | christmas@luckycloud.de | www.luckycloud.de

Modify your subscription    |    View online