Mit Online-Trainings zu mehr IT-Sicherheitsbewusstsein

„Das größte Sicherheitsrisiko sitzt vor dem Bildschirm“ ist ein Spruch, den IT-Mitarbeiter gerne auspacken, wenn ein Nutzer mal wieder besonders leichtsinnig war. Das traurige daran ist, dass er so häufig wahr ist. Doch man kann einiges dagegen tun.

Angestellte sind seit einigen Jahren die beliebtesten Angriffsziele von Cyber-Kriminellen und Industriespionen. Laut einer US-Studie Studie von Positive Technologies klickt derzeit einer von vier Mitarbeitern auf Links in suspekten Phishing-E-Mails, 17 Prozent von ihnen gehen Betrügern auf den Leim. Nach einer Schätzung von Microsoft werden vier von fünf sicherheitsrelevanten Vorfällen durch die Unachtsamkeit einzelner Mitarbeiter verursacht. Es ist das Unwissen vieler Angestellter über grundlegende Themen der IT-Sicherheit, das Hacker anzieht und erfolgreich macht.

Privat genutzte Firmen-Notebooks sind ein gern genutztes Einfallstor für hacker (Quelle: Proofpoint)
Privat genutzte Firmen-Notebooks sind ein gern genutztes Einfallstor für Hacker. (Quelle: Proofpoint)

Der „End User Risk Report 2018“ (PDF) des Security-Spezialisten Proofpoint bestätigt diese Erkenntnis. Etwa 84 Prozent der Deutschen nutzen ihre vom Arbeitgeber überlassenen Geräte auch privat, bei vielen mangelt es jedoch gerade dann an grundlegenden Sicherheitsmaßnahmen. Beispielsweise haben 10 Prozent von ihnen im heimischen WLAN keinerlei Schutzmechanismen, zwei von drei haben nie das Standard-Passwort ihres Routers geändert oder ein Firmware-Update durchgeführt. Als Gründe wurden laut Proofpoint der lästige Zeitaufwand, mangelnde Praktikabilität oder fehlendes Wissen angeführt.

„Very Attacked People“: Projektleiter und Chefsekretärinnen

Das kann schnell zum Bumerang werden, denn Kriminelle gehen immer gezielter gegen einzelne Mitarbeiter vor, infizieren ihre Rechner und gelangen darüber in Firmennetzwerke. Laut Oliver Karow, Manager Systems Engineering bei Proofpoint, sind die Lieblingsziele der Hacker inzwischen weniger die hochrangigen Manager, sondern ihre Sekretärinnen sowie Know-how-Träger wie beispielsweise Projektleiter. „Very Attacked People“ nennt Karow diese Gattung, im Gegensatz zu den „Very Important People“, den VIPs.

Auch die Zahl der Angriffe nimmt exponentiell zu. Die Security-Sparte der Deutschen Telekom zählte Mitte letzten Jahres durchschnittlich 4 Millionen Angriffe täglich, inzwischen sind es schon 12 Millionen, die meisten gegen die Endgeräte der Nutzer. Hinzu kommt, dass Cyber-Kriminelle sehr gut organisiert sind und koordiniert vorgehen. Dirk Backofen, Leiter der Telekom Security, vergleicht ihr Vorgehen gerne mit dem einer feindlichen Armee und fordert: „Wir brauchen jetzt auch eine Armee der Guten.“ Diese Armee wird allerdings erst dann wirklich schlagkräftig, wenn sie den Gegner und seine Methoden kennt. Idealerweise wäre dieses Wissen nicht nur auf der Ebene der Offizieren verbreitet, sondern auch bei den einfachen Soldaten, also den Angestellten.

Security-Trainings: Eine gern vernachlässigte Pflicht

„Unternehmen sollten hier im ureigensten Interesse ihre Mitarbeiter weiterbilden und sensibilisieren„, sagt die Europa-Chefin von Proofpoint Georgeta Toth. Aktuelle Technologie leiste hier zwar bereits gute Vorarbeit, aber Angestellte, denen die Risiken nicht bewusst sind, würden ein großes Gefahrenpotenzial für ihr Unternehmen bergen. Eine echte Verbesserung der Sicherheit würden vor allem wiederkehrende Schulungen bieten.

Funktionsmodell von Online-Traingsplattformen: Das vorhandene Wissen feststellen, Neues lernen, Üben, Prüfen – und das Ganze nochmal von vorn. (Quelle: Kaspersky)
Funktionsmodell von Online-Traingsplattformen: Das vorhandene Wissen feststellen, Neues lernen, Üben, Prüfen – und das Ganze nochmal von vorn. (Quelle: Kaspersky)

Mitarbeiterschulungen gehören inzwischen zum Standard-Repertoire der meisten Security-Anbieter und ihrer Dienstleister. Die Telekom Security, mit mehr als 1400 Spezialisten größtes europäisches Security Operations Center, leistet sich sogar das eine oder andere extravagante Format wie beispielsweise das Cyber-Sicherheits-Kochbuch mit „60 ‚gehackten‘ Rezepten für die Küche und die Sicherheit im digitalen Alltag“.

Immer mehr Unternehmen setzen jedoch Online-Trainingsplattformen, wie sie von Kaspersky, KnowBe4 oder der Proofpoint-Tochter Wombat angeboten werden. Darin integriert sind Trainingsmodule zu allen relevanten Bereichen der IT-Sicherheit, darunter sicheres Surfen, E-Mail-Sicherheit und Datenschutz. Die Lektionen sind auf die Bedürfnisse der einzelnen Nutzergruppen zugeschnitten, die Mitarbeiter müssen innerhalb festgelegter Zeiträume die Lektionen lernen und Tests darüber ablegen. Bei simulierten Phishing-Angriffen können sie dann beweisen, wie gut sie die Lektionen verinnerlicht haben und nicht auf Betrugsversuche reinfallen.

Das Verhalten der Mitarbeiter im Auge behalten

Praktisch alle diese Plattformen sind nach dem Prinzip „Assess – Educate – Reinforce – Measure“ aufgebaut. Am Anfang steht die Feststellung des aktuellen Wissenstands, dann kommt der auf den Anwender zugeschnittene Unterricht, das „Festsetzen“ des erlernten Stoffs durch praktische Übungen und schließlich die Bewertung des Lernprozesses. 

Über die Trainingsplattformen lässt sich das sicherheitsrelevante Verhalten der Mitarbeiter nachvollziehen. (Quelle: Kaspersky)
Über die Trainingsplattformen lässt sich das sicherheitsrelevante Verhalten der Mitarbeiter nachvollziehen. (Quelle: Kaspersky)

Online-Trainingsplattformen haben den Vorteil, dass sie den Mitarbeitern die Flexibilität bieten dann zu lernen, wenn es zeitlich bei ihnen geht. Unternehmen sind nicht mehr darauf angewiesen sicherzustellen, dass bei den Schulungen niemand fehlt. Jeder kann die Schulungen in seinem eigenen Tempo durchziehen, wiederholen und sich selbst kontrollieren. Außerdem haben die Administratoren die Möglichkeit, über Security-Dashboards sowohl den Wissensstand als auch das Verhalten einzelner Mitarbeiter in der Praxis im Auge zu behalten und Nutzer gezielt anzusprechen, falls ihr Verhalten nicht adäquat erscheint.

Die Resultate dieser Art Schulungen können sich sehen lassen. Nutzer von Wombat und Kaspersky berichten von einer Reduzierung erfolgreicher Phishing-Angriffe von bis zu 90 Prozent und von einer Halbierung der Geschäftsrisiken aufgrund von Wissenslücken in Sachen IT-Sicherheit bei den Mitarbeitern.

Das könnte Sie auch interessieren

Back to top button