Jetzt handeln: Mitarbeitende sind IT-Risiken
Schlechte Gewohnheiten und mangelndes Bewusstsein für IT-Risiken können IT-Verantwortlichen ganz schön zu schaffen machen. Schon der Klick auf einen Link oder das Öffnen der Anlage einer vermeintlich sicheren E-Mail können ganze Unternehmen zum Stillstand bringen.
Zudem gibt es «schleichende IT-Risiken»: Bei Passwörtern sind Mitarbeitende gerne unvorsichtig, indem sie diese weiterreichen, teilen, mehrfach verwenden oder sowohl berufliche wie auch privat nutzen. Ebenso erscheint ein nicht gesperrter Bildschirm auf den ersten Blick nicht hochgradig gefährlich. Setzt sich jedoch eine Person mit einer schlechten Absicht dahinter, ist das Chaos schnell perfekt. Diese Liste ist beliebig erweiterbar und erzählt ein IT-Supporter von vergleichbaren Erlebnissen, wird schnell klar, dass ein großer Schulungsbedarf besteht und die Angriffe immer besser werden.
Die genannten Risiken haben in der Regel eines gemein: Sie gehen vom Endbenutzer aus. Das Risiko lässt sich zwar im besten Fall minimieren, aber nicht zu 100 % beseitigen. Bei den E-Mails gibt es Lösungen, indem die meisten Bedrohungen mit einer Antiphishing- und Antivirus-Engine auf dem E-Mail-Server beseitigt werden. Schwieriger gestalten sich die Vorsorgemaßnahmen bei Web-Bedrohungen.
Testen Sie sich: Finden sie die 6 Gefahren?
Schauen Sie sich den unten stehenden Clip an. Finden Sie die sechs Stolpersteine, die vielen Mitarbeitenden regelmäßig begegnen?
Cyberangriffe steigen
Spezialisten des Sicherheitsanbieters Kaspersky rechnen in ihren «Advanced Threat Predictions» mit einer weiteren Zunahme von Cyberangriffen im Jahr 2020. Und auch die schweizerische Melde- und Analysestelle Informationssicherung (MELANI) taxiert in ihrem Halbjahresbericht 1/2019 Verschlüsselungstrojaner, sogenannte Ransomware, zu den gefährlichsten Cyberbedrohungen. Die Angreifer bleiben dabei meist unerkannt und bereichern sich an Erpressungsgeldern oder dem Weiterverkauf von Daten. Um ihre Erträge zu steigern, gestalten sie ihre Attacken immer ausgeklügelter – was gleichzeitig wieder IT-Sicherheitsverantwortliche fordert.
Schulen, sensibilisieren, testen
Mitarbeitenden ist oft nicht bewusst, welche Sicherheitsrisiken lauern und wie schnell sie das gesamte Unternehmen in Gefahr bringen können. Darum ist eine wiederkehrende Sensibilisierung wichtig. Dazu eignen sich folgende Möglichkeiten:
- Information: Gerne wird die Informatik von Mitarbeitenden aufgrund von sonderbaren Mails kontaktiert. Handelt es sich dabei um ein «Social Data Mining», lohnt sich eine Information an die gesamte Belegschaft. Erklären Sie, dass diese Mails von scheinbar bekannten E-Mail-Adressen versendet werden und den Leser zum Öffnen von gefährlichen Links oder Anhängen verleiten möchten. Zeigen Sie auf, wie solche Mails erkannt und richtig gelöscht werden (In Outlook z.B. mit der Tastenkombination [Umschalt] + [Entf]).
- Schulung: Nichts geht über eine sorgfältige Sensibilisierung via Schulung. Als flexible Alternative zur Präsenzschulungen bieten sich e-Learnings oder kurze Wissenstransfers per Lern-App an. Zusammen mit der Swiss Infosec hat easylearn den Online-Kurs Informations- und IT-Sicherheit erstellt und beleuchtet darin in drei Modulen verschiedene Themen wie Malware, Sicherheit am Arbeitsplatz, E-Mail, Internet, Passwörter oder Arbeiten von unterwegs.
- Fiktive Attacken: Angemeldete und unangemeldete Awareness-Tests zeigen Ihnen auf, wie die Schulungen gewirkt haben und welche Mitarbeitenden nachgeschult werden müssen. Bei Interesse vermitteln wir Ihnen gerne Kontakte für Phishing- und Social Engineering-Attacken.
Weiterführende Links
- e-Learning «Informations- und IT-Sicherheit» https://www.easylearn.ch/de/informations-und-it-sicherheit
- Blog «Sicheres Passwort» https://www.easylearn.ch/de/sicheres-passwort
- Blog «Das Ausmass von Cyberkriminalität» https://www.easylearn.ch/de/cyberkriminalitaet
- Deutschland: Bundeskriminalamt Internetkriminalität/Cybercrime
https://www.bka.de/DE/UnsereAufgaben/Deliktsbereiche/Internetkriminalitaet/internetkriminalitaet_node.html - Schweiz: Nationale Melde- und Analysestelle Informationssicherung (MELANI)
https://www.melani.admin.ch/melani/de/home.html - Österreich: Cybercrime-Competence-Center C4
https://bundeskriminalamt.at/306/start.aspx
Barbara Rohrer
Barbara Rohrer ist seit 2018 Marketingleiterin bei der easylearn schweiz ag. Ihr breites Fachwissen, die grosse Erfahrung im Learning und Development und ihr Herz für Kommunikation und Marketing setzt sie zugunsten der individuellen Lernerlebnisse verschiedenster Unternehmenskunden ein. Als erfahrene Führungsperson ist sie mit den individuellen Bildungszielen der Unternehmen aus verschiedenen Branchen bestens vertraut. Sie sorgt dafür, dass Entscheidungsträger im Learning und Development von den flexiblen Bildungslösungen von easylearn erfahren und damit die Chancen für eine nachhaltige Wissensvermittlung im Unternehmen rechtzeitig nutzen können.
