Die Zahl der Ransomware-Angriffe auf Unternehmen hat während der Pandemie deutlich zugenommen. Da immer mehr Menschen von zu Hause aus arbeiten und Unternehmen ihre Infrastruktur schnell aktualisieren, um sie an die Fernarbeit anzupassen, kommt es häufig zu Sicherheitslücken. Unternehmen sind anfälliger für Cyberangriffe und laut KPMG sind die Chancen eines erfolgreichen Ransomware-Angriffs viel höher, wenn die Mitarbeiter aus der Ferne arbeiten. Der Angriff auf die Colonial Pipeline Company in den USA, das geforderte Lösegeld von 50 Millionen Dollar vom Computerhersteller Acer und andere hochkarätige Ransomware-Angriffe haben deutlich gemacht, dass Unternehmen handeln müssen. Ein Grund dafür, dass Ransomware-Angriffe bei der Fernarbeit erfolgreicher sind, ist die schwächere Sicherheit der IT-Systeme zu Hause, aber ein wichtiger Grund ist auch die menschliche Verletzlichkeit. Ransomware-Angreifer nutzen die Angst vor der Covid-Krise aus, um ahnungslose Mitarbeiter dazu zu bringen, auf Links zu klicken und sich mit schädlicher Malware zu beschäftigen. Indem sie Informationen über Impfstoffe, Masken und Handdesinfektionsmittel verwenden, können Kriminelle Mitarbeiter dazu verleiten, die gewünschten Aktionen durchzuführen. Der beste Schutz vor solchen Angriffen besteht darin, die Mitarbeiter zu schulen und ihnen mehr Verantwortung zu übertragen. Deshalb müssen Unternehmen in Schulungen für Mitarbeiter zum Thema Cybersicherheit investieren.
Siehe auch: „Ransomware Task Force“ gegründet, um zunehmenden Angriffen entgegenzuwirken
Die Notwendigkeit eines Bewusstseins für Cybersicherheit
Die Cybersicherheit eines Unternehmens besteht aus drei Hauptkomponenten: Technologien, Protokolle/Richtlinien und Menschen. Mit der Entwicklung von Bedrohungen entwickeln sich auch die Sicherheitstechnologien weiter. Mit den richtigen Richtlinien und Sicherheitsprotokollen können Unternehmen Cyberangriffe verhindern und den Schaden durch erfolgreiche Angriffe minimieren. Die menschlichen Komponenten der Cybersicherheit sind vielleicht die wichtigsten und ironischerweise oft die am meisten vernachlässigten. Die besten Sicherheitstechnologien und -richtlinien werden versagen, wenn die in einem Unternehmen tätigen Mitarbeiter nicht richtig geschult sind und sich der Risiken für die Cybersicherheit nicht bewusst sind. Eine Festung kann die besten Verteidigungsmaßnahmen wie ein starkes Tor und einen mit Krokodilen gefüllten Graben haben, aber das nützt nichts, wenn die Wache stehenden Soldaten unwissentlich die Zugbrücke herunterlassen und Angreifer eindringen lassen. Das Verständnis des menschlichen Verhaltens ist entscheidend, um die Notwendigkeit der Sensibilisierung zu verstehen. Menschen können nachlässig und unvorsichtig sein. Sie sind besonders anfällig, wenn sie nicht wissen, wie ein Angriff aussehen könnte, und keine Informationen über die Bedrohungslandschaft haben. Aus diesem Grund müssen Unternehmen Schulungen zur Sensibilisierung der Mitarbeiter für Cybersicherheit anbieten, die sich darauf konzentrieren, wie Mitarbeiter die Sicherheit des Unternehmens beeinflussen können und vor welchen Risiken sie auf der Hut sein müssen.
Best Practices für Schulungen zum Sicherheitsbewusstsein
1. Lernen Sie in kleinen Häppchen
Teilen Sie die Themen beim Entwerfen des Schulungsprogramms in Abschnitte auf. Erstellen Sie für jeden Abschnitt mundgerechte Inhalte, die leicht zu konsumieren sind. Dadurch wird die Schulung effektiver. Wenn Sie Informationen in kleinere Stücke aufteilen, fühlen sich die Mitarbeiter nicht überfordert. Studien zeigen, dass Menschen nach einer Stunde nur noch die Hälfte der ihnen präsentierten Informationen behalten [1]. Sie können das Behalten und Erinnern verbessern, indem Sie die Schulung intensivieren. Häppchenweise Informationen können mehrmals konsumiert werden, ohne dass die Mitarbeiter viel Zeit investieren müssen. Nehmen wir Phishing-E-Mails als Beispiel: Sie können Ihre Schulung mit einem einfachen Video beginnen, in dem das Konzept und die potenziellen Gefahren erklärt werden, und das Sie allen Mitarbeitern zeigen. Nach einiger Zeit können Sie gefälschte Phishing-E-Mails an Ihre Belegschaft senden und sehen, wer den Fehler macht, auf die Links zu klicken. Sie können den Personen, die es brauchen, eine ausführlichere Schulung anbieten und das Ganze dann wiederholen. Auf diese Weise geben Sie den Mitarbeitern nur die Menge an Schulung, die sie benötigen. Behält ein Mitarbeiter die im Video vermittelten Informationen im Gedächtnis und fällt nicht auf die Phishing-E-Mail herein, ist es für den Mitarbeiter nicht notwendig, mehr Zeit in eine ausführliche Schulung zu investieren.
2. Das höchste Risiko für die höchste Belohnung
Konzentrieren Sie sich auf die größten Risiken für Ihre Cybersicherheit. Es gibt viele verschiedene Arten von Malware, Ransomware und Bedrohungen. Welche davon sind für Ihr Unternehmen am anfälligsten? Was hätte die größten Auswirkungen? Welche Mitarbeiter stellen das größte Risiko für die Cybersicherheit dar? Wenn Sie diese Fragen beantworten, können Sie ein Schulungsprogramm erstellen, das den höchsten ROI liefert. Wenn es um unternehmensweite Schulungen geht, sollten Sie sich darauf konzentrieren, die Ziele und Vision Ihres Unternehmens mit den Mitarbeitern zu teilen und ein gezieltes Verhalten zu fördern. Denken Sie daran, dass nicht jeder in allem geschult werden muss.
3. Seien Sie nicht repetitiv
Es gibt nichts Frustrierenderes und Ärgerlicheres für Mitarbeiter, als an Schulungen teilzunehmen, die ihnen Dinge vermitteln, die sie bereits wissen. Unternehmen wiederholen Schulungen häufig, weil sie sich Sorgen machen, dass das Gelernte verloren geht und sie sich nicht mehr erinnern. Eine gute Möglichkeit, dieses Problem anzugehen, besteht darin, das Wissen der Mitarbeiter zu testen. Mitarbeiter, die im Test gut abschneiden, müssen das Schulungsprogramm nicht noch einmal absolvieren. Bei komplexen oder langen Schulungsprogrammen können Sie eine abschnittsweise Bewertung durchführen, und die Mitarbeiter müssen nur an den Teilen des Programms teilnehmen, bei denen sie schlecht abgeschnitten haben. Dies ist eine gute Möglichkeit, die Effizienz und Effektivität Ihrer Schulungsprogramme zu verbessern. Tests können auch ein Gefühl des internen Wettbewerbs unter den Mitarbeitern erzeugen und einen Anreiz für sie schaffen, das Gelernte zu behalten, sodass sie das Programm nicht wiederholen müssen.
4. Passwortspeicherung
Kundendaten, Mitarbeiterdaten und Projektdetails sind alles sensible Informationen, die geschützt werden müssen, damit ein Unternehmen erfolgreich sein kann. Die Verwendung starker und sicherer Passwörter ist in dieser Hinsicht unerlässlich. Gute Passwörter verhindern unbefugten Zugriff auf Geräte und Informationen. Manchmal übersehen Organisationen die Passworthygiene, wenn es um Schulungen zum Sicherheitsbewusstsein geht, weil sie davon ausgehen, dass die Mitarbeiter starke Passwörter erstellen, wie es das von ihnen verwendete Tool oder die Plattform vorgibt. Dies muss jedoch nicht der Fall sein. Die Schulung der Mitarbeiter in Passworthygiene ist wichtig. Manchmal machen Mitarbeiter den Fehler, ihre Passwörter aufzuschreiben und die Informationen unbeaufsichtigt zu lassen. Oder sie speichern alle ihre Passwörter in einer ungesicherten Datei auf ihrem Desktop. Dies sind Versäumnisse, die Hacker ausnutzen können, um auf ein System zuzugreifen.
5. Kontinuierliche Weiterbildung ist unerlässlich
Die Bedrohungslandschaft der Cybersicherheit verändert sich ständig, und daher sollten auch Schulungen zum Sicherheitsbewusstsein kontinuierlich durchgeführt werden. Wenn neue Bedrohungen und Angriffe identifiziert werden, sollten die Mitarbeiter darin geschult werden, wie sie diese Bedrohungen erkennen und sich vor ihnen schützen können. Unternehmen sollten ihre Mitarbeiter regelmäßig testen, um festzustellen, wie viel Wissen sie haben und ob Umschulungsprogramme durchgeführt werden müssen. Da viele Mitarbeiter von zu Hause aus arbeiten, sollten Unternehmen ihre bestehenden Programme aktualisieren, damit sie ihren Mitarbeitern Online-Schulungen zum Sicherheitsbewusstsein anbieten können. Arbeiten Sie nach Möglichkeit mit einem Lehrplangestalter zusammen, um ein umfassendes, aber prägnantes Programm zu erstellen.
Der aktuelle Stand der Cybersicherheit und -schulung
95 % der Cybersicherheitsverletzungen sind auf menschliches Versagen zurückzuführen[2]. Menschliche Intelligenz und Verständnis sind die beste Verteidigung gegen die häufigsten Phishing-Angriffe. Remote-Mitarbeiter werden auch 2021 ein Ziel von Hackern sein, und eine Zunahme der Remote-Arbeit wird zu einer höheren Wahrscheinlichkeit von Cloud-Verstößen führen. In letzter Zeit hat die Zahl der Cyberangriffe auf kleine Unternehmen zugenommen. Dies ist kein Problem mehr, über das sich nur große Organisationen Sorgen machen müssen. Die Kosten eines erfolgreichen Angriffs können für Unternehmen, die nicht in ihre Cybersicherheit investieren, verheerend sein. 45 % der Mitarbeiter erhalten von ihren Arbeitgebern keine Schulung zur Cybersicherheit[3]. Dies ist ein grobes Versäumnis, da die meisten erfolgreichen Ransomware-Angriffe das Ergebnis von Phishing-Betrügereien sind, die durch Sensibilisierung der Mitarbeiter vermieden werden können.
Viele Führungskräfte wissen nicht, was sie im Falle eines Sicherheitsvorfalls tun sollen, weil das Unternehmen keine Richtlinien hat. Unternehmen müssen diese Richtlinien unbedingt erstellen und allen Mitarbeitern mitteilen. Die Richtlinien sollten auf mehreren Kanälen wie dem Mitarbeiterhandbuch, dem internen Kommunikationstool des Unternehmens usw. leicht zugänglich sein. Richtlinien sind eine großartige Möglichkeit, Mitarbeiter über die grundlegenden Hygienemaßnahmen für die Sicherheit zu informieren. Sie können beispielsweise verwendet werden, um Mitarbeiter darüber zu informieren, dass sie keine von unbekannten IDs gesendeten Links öffnen sollen und ungewöhnliche Anfragen von Berichtsmanagern dem IT-Team gemeldet werden sollen. Eine schnelle Reaktion ist entscheidend, wenn Hacker Zugriff auf die Systeme eines Unternehmens erhalten. Indem Sie Ihre Mitarbeiter schulen, erhöhen Sie die Chancen, dass Sicherheitsangriffe verhindert und im schlimmsten Fall umgehend Ihrem Sicherheitsteam gemeldet werden, damit dieses die erforderlichen Gegenmaßnahmen ergreifen kann.
Wenn Sie Schulungen zur Cybersicherheit für Mitarbeiter konzipieren, sollten Sie nicht nur auf das Bewusstsein achten, sondern auch das Gelernte umsetzen. Daher sollten die Programme auch Tests und praktische Komponenten enthalten. Gestalten Sie das Programm spannend und belohnen Sie Mitarbeiter, die bei Tests gut abschneiden. Das Ziel sollte sein, dass die Mitarbeiter die Schulung nicht mehr als Pflicht oder Ärgernis betrachten. Sicherheit sollte Teil der Unternehmenskultur sein und alle Mitarbeiter sollten verstehen, welche Rolle sie beim Schutz vor Bedrohungen spielen. Menschliche Intelligenz ist nach wie vor der beste Schutz, den Unternehmen gegen Cyberangriffe haben.
Abonnieren Sie whitepapers.online für hochwertige Whitepaper, E-Books und Nachrichten aus der Welt der Technologie.
Vorgestelltes Bild: Hintergrundfoto erstellt von rawpixel.com – www.freepik.com
Quellen:
1. Juni 2017, M. Bingham, „10 Stats About Learning Retention You'll Want to Forget“, Bridge, [online verfügbar] verfügbar unter:https://www.getbridge.com/en_gb/blog/10-stats-about-learning-retention-youll-want-forget/ [abgerufen im Mai 2021]
2. Dez 2020, D. Milkovich, „15 Alarming Cyber Security Facts and Stats“, Cybint, [online verfügbar] verfügbar unter: https://www.cybintsolutions.com/cyber-security-facts-stats/ [abgerufen im Mai 2021]
3. Mai 2018, M. Williams, „Infografik: 10 Statistiken, die zeigen, warum Schulungen der Schlüssel zu gutem Datenschutz und guter Cybersicherheit sind“, Pensar, [online verfügbar] verfügbar unter: https://www.pensar.co.uk/blog/cybersecurity-infographic [abgerufen im Mai 2021]