IT-Awareness
Der menschliche Faktor
IT-Sicherheitstrainings werden häufig vernachlässigt, dabei sind sie teils sogar sinnvoller als manch teure Technik. Denn um die immer raffinierteren Schutzsysteme zu umgehen, setzen Cyberkriminelle vermehrt auf die größte Schwachstelle: den Menschen.
„Unser Netzwerk ist gut abgesichert“ – so ist vielerorts zu hören. Doch viele IT-Verantwortliche haben nur die technischen Sicherheitssysteme wie Firewall oder Virenschutz im Blick. Doch diese greifen nicht gegen die Gefahr im Inneren des Unternehmens. Denn Studien zufolge stellen Mitarbeiter das größte Sicherheitsrisiko dar. Nicht aus Boshaftigkeit, sondern weil sie unbedacht sensible Informationen über Social Media oder am Telefon preisgeben, unsichere WLANs nutzen sowie gutgläubig auf schadhafte Links oder Anhänge klicken.
Unterm Strich ist jeder nicht auf solche Situationen vorbereitete Mitarbeiter ein potenzieller Mittäter. Dennoch: Viele Organisationen haben es bislang nicht geschafft, das Sicherheitsrisiko durch Anwender in den Griff zu bekommen. Sensibilisierung und Schulung fristen ein Schattendasein. So verzichten laut „Deutschland sicher im Netz“ knapp drei Viertel aller kleinen und mittelständischen Firmen auf Awareness-Trainings ihrer Mitarbeiter. Oder Unternehmen führen diese nur sporadisch durch, wie eine Umfrage des Bundesamtes für Informationssicherheit (BSI) ergab. Sie verletzen damit nicht nur die Rechtspflicht zur Risikovorsorge. Sie verschenken auch leichtfertig einen zentralen Schutzschild.
Ein Powerpoint-Vortrag, der abstrakt erklärt, was die Mitarbeiter falsch machen, oder einmalige Info-Veranstaltungen sind allerdings reine Zeitvergeudung. Der Aufbau einer Sicherheitskultur erfordert nachhaltige Überzeugungsarbeit. Denn Sicherheit bedeutet fast immer einen Zusatzaufwand für die Anwender. Als Einstieg bewährt haben sich Workshops oder eine Kick-off-Veranstaltung mit Live-Hacking. Wer sieht, wie einfach Passwörter geknackt und das eigene Smartphone oder Tablet über ein offenes WLAN ausspioniert werden kann, zweifelt nicht an der Notwendigkeit der Awareness-Maßnahmen. Klar kommunizierte Ziele durch die Geschäftsführung unterstreichen deren Wichtigkeit. Das Vorstellen der Ansprechpartner für die Umsetzung, an die sich die Mitarbeiter mit Fragen und Feedback wenden können, signalisiert: Jeder einzelne ist gefordert.
- Der menschliche Faktor
- Awareness testen und trainieren
- Steter Tropfen höhlt den Stein
Lesen Sie mehr zum Thema
