Sicherheitsbewusstsein und Wissen der Mitarbeiter sind ausschlaggebend für die Cybersicherheit im gesamten Unternehmens – die wichtigsten Kniffe.
Cyberangriffe gehören laut World Economic Forum zu den größten Bedrohungen der weltweiten Stabilität. In Deutschland rangieren sie sogar auf Platz eins der größten Risiken, gefolgt von Datenschutzverletzungen – und noch vor zwischenstaatlichen Konflikten.
Für Unternehmen bedeuten Datenpannen und Cyberattacken hohe Kosten von durchschnittlich 3,92 Millionen Dollar, wie IBM und das Ponemon Institute in ihrem diesjährigen Data-Breach-Report ermittelt haben. Daher ist eine IT-Sicherheitsstrategie für jedes Unternehmen entscheidend für den wirtschaftlichen Erfolg.
Hier kommt den Mitarbeitern eine Schlüsselrolle zu – ihr Sicherheitsbewusstsein und ihr Wissen sind ausschlaggebend für die Cybersicherheit im gesamten Unternehmen. Der IT-Sicherheitsanbieter Varonis hat kürzlich 15 Tipps & Tricks zusammengestellt, um das Mitarbeiter zu schulen und ihre Bewusstsein zu schärfen.
- Eine Cybersecurity-freundliche Unternehmenskultur schaffen: Unternehmen sollten hierzu Verantwortliche ernennen und Mitarbeiter motivieren, die Sicherheits-Verhaltensregeln mit Leben zu füllen.
- Mit gutem Beispiel vorangehen: Unternehmer sind für die Festlegung der Unternehmenskultur verantwortlich. Eigentümer, die Cybersicherheit ernst nehmen, werden ihre Mitarbeiter beeinflussen, dasselbe zu tun. In vielen Unternehmen ist es aber gerade das Top-Management, das Sicherheitsregeln aufweicht oder ignoriert – mit gravierenden Auswirkungen auf die IT-Sicherheit.
- Mitarbeiter belohnen, die bösartige E-Mails oder andere Angriffe melden: Dies wird die Motivation aller Mitarbeiter steigern, bei der täglichen Arbeit die Cybersicherheit stets mitzudenken.
- Klare und prägnanten Kommunikation: Unternehmensleiter sollten lange E-Mails und Memos vermeiden, da die meisten Mitarbeiter nur die ersten paar Sätze überfliegen und die Nachricht dann löschen werden. Sinnvoll ist es stattdessen, einige Videos zu erstellen oder vielleicht einige Infografiken in den Hauptbereichen des Unternehmens aufzuhängen. Selbst wenn Mitarbeiter nicht sehr an Sicherheit interessiert sind, wird das wiederholte Lesen von Maßnahmen in visueller Form ihnen helfen, sich an diese Nachrichten zu erinnern.
- Mitarbeiter auf dem Laufenden halten: Steter Tropfen höhlt den Stein – daher sollten Unternehmen die eigene Belegschaft regelmäßig über neue Richtlinien, Bedrohungen, Viren, Betrugsmaschen und Software-Updates informieren.
- Offene Kommunikation zwischen Geschäftsführung und IT: In den meisten Unternehmen ist es unerlässlich, einen Vorstand mit IT-Kenntnissen zu besetzen, der Fragen der IT-Sicherheit verstehen und kommunizieren kann – als wichtige Stimme für ein Thema, das die anderen Vorstandsmitglieder nicht verstehen.
- Awareness-Training gleich an den ersten Arbeitstagen neuer Mitarbeiter: Es ist nie zu früh, um gute Gewohnheiten zu lernen – daher ist es sinnvoll, Cybersicherheit in den Onboarding-Prozess zu integrieren, da neue Mitarbeiter dann meist Zugang zu Konten erhalten, ihre Passwörter erstellen und mehr über Unternehmensprozesse erfahren.
- Über die Datenethik sprechen: Wenn Mitarbeiter über die ethische Seite von Daten nachdenken, also über die Menschen, Personen oder Familien, welche die Daten repräsentieren, sind Datenschutzverletzungen weniger wahrscheinlich und ihre Auswirkungen könnten reduziert werden.
- Cybersicherheits-Notfallsimulationen durchführen: Diese können von internen Sicherheitsdienst oder von externen Spezialisten organisiert werden. Die Simulationen sollten auf die spezifischen Arbeitsabläufe zugeschnitten sein und sich auf Angriffe konzentrieren, welche die Mitarbeiter tatsächlich so erfahren könnten. Hierdurch wird der Lernprozess deutlich verbessert und die Mitarbeiter lernen ganz konkrete Maßnahmen und Verbesserungsmöglichkeiten – zugeschnitten auf ihren jeweiligen Bereich.
- Sicherheitsrisiken richtig priorisieren: Viele Unternehmen leisten schlechte Arbeit, wenn es darum geht, Informationssicherheitsrisiken angemessen zu priorisieren. Teilweise liegt das daran, wie und in welchem Zusammenhang Informationen präsentiert werden. Informationssicherheits-Risikobewertungen und Reifegradbeurteilungen sind langwierig, zu kompliziert und schwer auf eine bestimmte Roadmap zuzuspitzen. Die Lösung liegt in der Kommunikation: Die zentrale Botschaft muss sich auf das Risiko für das Unternehmen beziehen, und das muss auch den Kern der Berichterstattung bilden.
- Korrekte Klassifizierung der Daten: Ist dies nicht der Fall, können Unternehmen nicht präzise kontrollieren, wer Zugang zu den Daten haben soll. Data Governance ist der Schlüssel, besonders wenn es um sensible Daten geht
- Zugriffsrechte auf Dateien und Ordner nach dem „need-to-know“-Prinzip: Jeder Mitarbeiter darf nur auf diejenigen Daten zugreifen, die er für seine Arbeit auch tatsächlich benötigt.
- Zusätzliche Schulungen anbieten: Mitarbeitern, insbesondere denjenigen, die im Brennpunkt potenzieller Angriffe stehen, sollten die Möglichkeit erhalten, ihre Cybersicherheitsschulung fortzusetzen und neue präventive und defensive Fähigkeiten zu erlernen. Aber auch generell ist das Thema Schulungen für die IT-Sicherheit insgesamt nicht zu unterschätzen, wie ich kürzlich in einem „Rant am Morgen“ herausgearbeitet habe.
- Mit externen Experten zusammenarbeiten: Unternehmen müssen offen und öffentlich darüber informieren, was sie für die IT-Sicherheit tun. Cybergangster verbringen den ganzen Tag damit, die Guten auszuforschen – um am nächsten Tag noch erfolgreicher zu sein. Die Unternehmen müssen nach den gleichen Regeln spielen – dabei können externe Experten sehr hilfreich sein.
- Auf dem neuesten Stand der IT-Sicherheit bleiben: Nur durch ständiges Lernen ist man in der Lage, auf all die verschiedenen Viren und neuen Hacking-Methoden vorbereitet zu sein, die gegen einen eingesetzt werden. IT-Sicherheitsverantwortliche sollten Nachrichten und Neuigkeiten aus dem Bereich der Cybersicherheit verfolgen und Experten konsulitieren, um die Nase vorn zu haben.
Alle Tipps & Tricks in der folgenden Infografik im Überblick:
Quelle: Varonis
Verwandte Artikel:
Kosten für Ausfallzeiten nach Ransomware-Angriff gegenüber 2018 verdreifacht
Phishing sehen 96 Prozent aller Unternehmen als größtes Sicherheitsrisiko
IT-Sicherheit: Mitarbeiter verwenden Passwörter im Schnitt 13 mal
Zahl der Denial-of-Service-Angriffe klettert im ersten Halbjahr 2019 um 39 Prozent
Cybersicherheit ist ganz wichtig für den Unternehmen, weil sie Daten der Firma und ihrer Kunden schützt. Ich finde es auch gut, wenn die Mitarbeiter von IT-Sicherheit mit den Vorstandsmitgliedern im Kontakt sind, damit die Kommunikation in der Firma offen für die Geschäftsführung bleibt. Danke für die Tipps zum Thema IT-Sicherheit.
Mein Chef und ich unterhielten uns neulich über die Wichtigkeit von Sicherheit im Unternehmen. Ich finde, es super, dass Sie sagen, dass die Cybersecurity zum Teil unserer Unternehmenskultur und Vision gehört und auch wesentlich zum Unternehmenserfolg beiträgt. Sie haben recht, dass man hier mit externen Experten zusammenarbeiten sollte, damit alle Unternehmen nach den gleichen Regeln spielen. Ich finde, dass Experten im Thema Sicherheit generell hilfreich sein können, auch was die Sicherheit des Gebäudes selbst betrifft.
Cybersicherheit ist Chefsache, da gibt es kein wenn und aber. Mit der Cybersicherheit fällt oder steht ein ganzen Unternehmen. Ich finde es super das in dem Artikel erkannt wurde das der Mitarbeiter das schwächste Glied in der Kette ist. Ein Unternehmen ist nur so sicher wie das schwächste Glied in der Kette.
Der Mensch muss zu einer Firewall trainiert werden.
Mir ist eine optimale IT-Sicherheit im Unternehmen sehr wichtig und ich recherchiere regelmäßig, wo wir ggf. noch optimieren können. Mir war gar nicht bewusst, dass man auch Notfallsituationen testen kann, um Verbesserungsmöglichkeiten kennenzulernen. Ich werde mich mal mit der IT-Abteilung absprechen, wie das bei uns umsetzbar ist. Vielen Dank für die Tipps.