365 Tage im Jahr: Solutions, Knowledge und Networking.
Finden und bieten Sie innovative IT-Security-Lösungen, nehmen Sie an unserem vielfältigen Action-Programm teil und knüpfen & pflegen Sie Kontakte.
Werden Sie Teil der it-sa 365 Community!
Damit Sie einen Termin vereinbaren können, wird der Kalender auf dem persönlichen Profil Ihres Ansprechpartners in einem neuen Tab geöffnet.
Damit Sie einen Vor-Ort-Termin vereinbaren können, wird die Terminanfrage in einem neuen Tab geöffnet.
Ein falscher Klick, schon sind alle IT-Systeme des Unternehmens verschlüsselt. Mitarbeiter müssen die Gefahren kennen. Dazu gehen zeitgemäße Awareness-Kampagnen neue Wege.
Seit Jahren erfolgen die meisten Angriffe per Phishing. Angreifer verstecken in gut präparierten Mails Links, über die Malware auf dem PC installiert wird. Ist das gelungen, öffnet sich für die Angreifer eine Hintertür ins Unternehmensnetz. Damit das funktioniert, setzen Cyber-Kriminelle verstärkt auf erbeutete Kontaktdaten, Zusammenhänge und Gesprächsthemen aus gehackten Email-Konten.
Unternehmen begegnen solchen Angriffen mit Vorbeugung durch Awareness-Kampagnen. Mitarbeiter und Mitarbeiterinnen sollen sensibilisiert werden, nicht auf unbekannte Links zu klicken. Doch der erwünschte Erfolg dieser Kampagnen bleibt oftmals aus. Somit stellt sich die Frage, wie eine effiziente Maßnahme aussehen sollte.
Simran Mann, Referentin für Sicherheitspolitik beim Branchenverband der deutschen Informations- und Telekommunikationsbranche (Bitkom), plädiert für Kreativität bei der Gestaltung von Awareness-Kampagnen und betont, dass auch klassische Themen dazugehören können:
Zu einer effizienten Security-Awareness-Initiative im Unternehmen gehören natürlich Dinge wie Passwortrichtlinien ins Gedächtnis rufen und Penetration Testing mithilfe von Phishing Mails – also die eher klassischen Themen. Aber das allein reicht nicht aus, sondern es sind weitergehende Fragen zu klären, dazu zählen: Wer ist überhaupt die Zielgruppe? In welchem Alter sind meine Mitarbeitenden? Welche Anwendungen werden von ihnen am häufigsten verwendet und wo sind dabei die Einfallstore?
Die notwendige Zeit, sich damit zu beschäftigen, ist gut investiert, denn im Ernstfall kann die Vorbereitung die Existenz eines Unternehmens sichern. Dabei sind der Kreativität keine Grenzen gesetzt, zum Beispiel kann man die Mitarbeitenden einspannen, selbst Phishing Emails für das Penetration Testing zu entwerfen. Das kann nicht nur für Unterhaltung sorgen, sondern auch die Aufmerksamkeit auf die Details lenken, die einem tagtäglich dabei helfen, Phishing Mails zu entlarven.
Michael Weirich, Projektmanager IT-Sicherheit beim Verband der Internetwirtschaft eco, betont die Bedeutung von Erfolgserlebnissen und positiver Rückkopplung für Mitarbeiter und Mitarbeiterinnen:
Die Mitarbeiter eines Unternehmens sind neben technischen Maßnahmen eine der wichtigsten Verteidigungslinien eines Unternehmens. Um deren Awareness zu schärfen, sind kurze, kontinuierliche Lerninhalte, mit denen sich der User identifizieren kann, wichtig. Anschauliche Beispiele aus dem Berufsalltag, kurzweilig aufbereitet, spiegeln Situationen wider, die jeder kennt und die im Gedächtnis haften bleiben. Inhalte der Awareness-Kampagne müssen auf die jeweilige Organisation anpassbar sein, ein Corporate Branding individualisiert die Kampagne, sodass sie für den User nicht aufgesetzt, sondern als Teil der Unternehmenskommunikation wahrgenommen wird. Kurze Tipps und Beispiele mit aktuellen Cyberbedrohungen bzw. -vorfällen können den bewussten Umgang mit Risiken nachhaltig fördern.
Eine Fortschritts- und Erfolgsübersicht motiviert Mitarbeiter, neue Lerninhalte anzunehmen und kann zu einem nachhaltigen Lernerfolg beitragen. Abzeichen und ein abschließendes Zertifikat verstärken das Erfolgserlebnis. Positive Rückkopplung ist hier das Zauberwort.
Der erhobene Zeigefinger ist bei einer Awareness-Kampagne genauso kontraproduktiv wie Langeweile oder Überforderung. Die Lerninhalte müssen auf die Zielgruppe und das Unternehmen abgestimmt werden. Je kreativer und unterhaltsamer die Lektionen und Maßnahmen gestaltet sind, desto eher werden sie vom Personal angenommen. Kleine Wettbewerbe und die Einbeziehung der Mitarbeiter bei der Gestaltung können für Abwechselung und Akzeptanz sorgen. Die eigene Belegschaft kennt das Unternehmen und mögliche Fehlerquellen meist am besten.
Autor: Uwe Sievers
