Wie IT-Sicherheitswissen zum Mitarbeiter kommt
Malware, Hacking, DDoS-Angriffe – mit der Digitalisierung ist die Bedrohungslage der Unternehmensnetze größer geworden. Beschäftigte, die wissen, was bei einem Angriff zu tun ist, sind immens wichtig. Doch wie macht man Mitarbeiter fit?
Die Digitalisierung ist mehr als komplex, das Dilemma der Unternehmen nachvollziehbar: Viele wissen um die Bedrohung. Laut dem aktuellen Lagebericht zur IT-Sicherheit 2018 des BSI schätzen über 90 Prozent der Befragten die Gefahr von Cyber-Angriffen auf die firmeninterne IT-Infrastruktur als kritisch für die Betriebsfähigkeit ein. Doch Rahmenbedingungen wie Budget, Aufwand und weiterbildungsfähige beziehungsweise -willige Mitarbeiter machen den Entscheidern zu schaffen. Vor allem jetzt, da immer mehr Führungskräften bewusst wird, dass technische Maßnahmen wie Antiviren-Lösungen oder eine bessere Absicherung des Netzwerks beispielsweise durch weniger Netzübergänge nicht das Allheilmittel sind. Auch das steht im diesjährigen Report des Bundesamtes für Sicherheit in der Informationstechnik.
Wie man es nimmt: Nur oder immerhin 52 Prozent der Unternehmen führen regelmäßig IT-Schulungen durch.
„Ein Teil der Unternehmen hat erkannt, dass für eine ganzheitliche Informationssicherheit auch der Faktor Mensch von Bedeutung ist“, glaubt das BSI. Immerhin führen mehr als die Hälfte der Unternehmen (52 Prozent) regelmäßige Schulungen ihrer Beschäftigten zu Fragen der Cyber-Sicherheit durch. Es heißt aber auch, dass einige (19 Prozent) bisher nur entsprechende Maßnahmen planen. Und 29 Prozent sagten, dass IT-Sicherheits-Schulungen weder stattfinden noch geplant sind.
Die Werte sind angesichts der wachsenden Bedrohungslage nur bedingt positiv bewertbar. Knapp 70 Prozent der Unternehmen und Institutionen in Deutschland wurden 2016 und 2017 Opfer von Cyber-Angriffen. Jeder zweite erfolgreiche Angriff führte dabei zu Produktions- oder Betriebsausfällen und damit zu Umsatzeinbußen. Von den Kosten für die Aufklärung der Vorfälle, die Wiederherstellung der IT-Systeme sowie Imageschäden ganz zu schweigen.
Auch für Lucia Falkenberg, Chief People Officer beim Verband der Internetwirtschaft eco und Leiterin der Kompetenzgruppe New Work im Verband, sind „qualifizierte Mitarbeiter eine Voraussetzung für IT-Sicherheit und damit für die erfolgreiche Digitalisierung eines Unternehmens“. Ein wichtiger Baustein in der Entwicklung zusätzlicher Expertise innerhalb des Unternehmens sind ihrer Ansicht nach IT-Schulungen für die Beschäftigten. Falkenberg hat daher in fünf Tipps zusammengefasst, wie IT-Sicherheit im Unternehmen beim Mitarbeiter ankommen kann.
Mitarbeiter sensibilisieren. Mitarbeiter müssen auch unter Stress in der Lage sein, Angriffsversuche wie Phishing oder Social Engineering-Attacken als solche zu erkennen und entsprechend zu reagieren. Voraussetzung dafür ist eine Unternehmenskultur, in der sie sich trauen, verdächtige Vorfälle zu melden und Rücksprache zu halten.
IT-Security als Managementaufgabe. Das Management muss Treiber für den Ausbau der IT-Kompetenzen im Unternehmen sein und von sich aus IT-Schulungen anbieten.
Sicherheitsbewusstsein ständig aufrechterhalten. Regelmäßige Schulungen oder monatliche Mitarbeiterversammlungen halten das Bewusstsein für aktuelle Bedrohungen aufrecht. Regelmäßige Tipps von Experten, Lernspiele oder Tests helfen dabei. Anreize und Auszeichnungen statt Punktabzug ist dabei sehr wichtig, denn sonst will niemand etwas dazulernen.
E-Learning nutzen. Die Digitalisierung stellt nicht nur neue Anforderungen an Weiterbildungsinhalte, sondern bietet auch moderne Lernmöglichkeiten. Auf E-Learning-Plattformen greifen Mitarbeiter von zuhause oder auf Dienstreisen zu, durchlaufen Schulungsprogramme und lösen mit Kollegen Gruppenaufgaben.
Datenschutz im betrieblichen Alltag leben. Die Datenschutzgrundverordnung (DSGVO) betrifft die tägliche Arbeit fast aller Mitarbeiter im Unternehmen. Damit diese ihre Dokumentationspflichten erfüllen und personenbezogene Daten im Sinne des Gesetzes erheben und speichern, ist es wichtig, die Mitarbeiter hinsichtlich neuer gesetzlicher Anforderungen auf dem Laufenden zu halten. Dabei helfen kann beispielsweise ein externer Datenschutzbeauftragter.