So schützen sich Unternehmen

Über die Hälfte aller IT-Schäden wird durch Mitarbeitende verursacht. Das IT-Sicherheitssystem kann noch so ausgefeilten Schutz bieten – spielt der Mensch nicht mit, bleibt die Technik wirkungslos. Doch wie setzen IT-Verantwortliche ganzheitlichen IT-Schutz im Unternehmen um?

Täglich kommen mehr als 400.000 neue Schadprogramme in Umlauf und so ist ein wirksamer Schutz vor Viren und Trojanern nur mit Hilfe der Mitarbeitenden möglich. Damit IT-Sicherheit in allen Bereichen des Unternehmens greift, müssen also neben der IT-Infrastruktur alle Sicherheitsaspekte einbezogen werden, dazu gehört auch der Umgang mit Dokumenten, Zugangsregelungen und Datenschutz. Es reicht nicht, wenn die Aktualisierung der Software automatisch erfolgt, die Nutzer müssen sich auch verantwortungsbewusst im Netz bewegen.

Security Awareness zur Chefsache machen

Netzwerkausfälle durch Virenbefall verursachen enorme Kosten, weil die Wiederherstellung der Systeme und Daten Zeit braucht, in der die Mitarbeitenden nicht arbeiten können. Hinzu kommen Imageschäden; IT-Probleme bleiben Kunden selten verborgen. Doch die Erhaltung der IT-Sicherheit kann die IT-Abteilung weder alleine gewährleisten noch ist sie als Einzige für dieses Thema zuständig. Ohne Zutun der Belegschaft kann nicht wirksam verhindert werden, dass Viren und Trojaner in das Firmennetzwerk eindringen. Daher kann die Verantwortung für ein sicheres Netzwerk weder bei den betrieblichen IT-Experten noch beim Datenschutzbeauftragten abgegeben werden. Am Ende sind es die Menschen, die die Technik sicher machen. Mitarbeitende müssen Richtlinien nicht nur kennen, sondern auch verstehen, warum diese wichtig sind. Das beinhaltet, dass „von oben“ die entsprechenden Signale gesendet werden: Die Mitarbeitenden müssen merken, dass IT-Sicherheit in der Vorstandsebene einen hohen Stellenwert besitzt und dass sie bei ihren Bemühungen um IT-Sicherheit am Arbeitsplatz unterstützt werden.

Erfolg durch Wiederholung

Wirksame Sensibilisierungseffekte sind keine Frage der Kosten oder eines hohen Aufwandes, sondern das Ergebnis einer angemessenen Strategie. Security Awareness Trainings sollten mit einer Phishing Simulation starten, gefolgt von Schulungsmodulen zu aktuellen Bedrohungen wie Sicherheit am Arbeitsplatz, Social Engineering oder Passwortschutz. Solche interaktiven Phishing Simulationen machen die Risiken der Cyberkriminalität greifbar. Sie können aus dem Alltag bekannte Mails etwa von Paketzustellern („Ihr Paket ist da!”) enthalten, aber auch E-Mails vermeintlich im Namen der Geschäftsführung an die Belegschaft, wonach die Gehaltsabrechnungen von nun an online verfügbar seien und der oder die Mitarbeiter:in aufgefordert wird, auf den Link zu klicken, um zu prüfen, ob die Angaben stimmen. Hinterher erhält der Vorstand eine Auswertung, wie viele Mitarbeitende auf den Link geklickt haben. Der Überraschungseffekt: Selbst IT-Verantwortliche ertappen sich dabei, wie schnell sie in der Hektik des Alltags auf eine gefälschte E-Mail klicken und wie gut diese heutzutage gefälscht sind. Mit Hilfe von Reports zeigt sich deutlich, wie sich der IT-Sicherheitsstatus der Mitarbeitenden im Laufe des Trainings verbessert.

Ganzheitlich denken

Die Mitarbeitenden für den Umgang mit den digitalen Medien zu sensibilisieren, sollte im Unternehmen fest verankert sein. Je nach Betriebsgröße und IT-Infrastruktur empfehlen sich Ausgaben für IT-Sicherheit zwischen 10 und 20 Prozent des gesamten IT-Budgets. Das geht in der Regel nur, wenn die Vorstandsebene dies entscheidet und unterstützt. Ein geringer Etat ist jedoch kein Hinderungsgrund für regelmäßige Awareness Trainings. Preiswert und schnell umsetzbar sind Materialien, die Awareness am Arbeitsplatz schaffen, wie Poster, CAM-Schutz, Mousepads oder Tassen, aber auch Infos übers Intranet oder per Newsletter.

Ein ganzheitliches IT-Sicherheitskonzept beinhaltet:

Virenschutzkonzept
Notfallpläne
Benutzerrichtlinien (Passwörter, Internet etc.)
Backup-Konzept
Berechtigungskonzepte
Definition der Zuständigkeiten
Security Awareness Trainings

Worauf achten bei der Wahl eines externen Dienstleisters?

Welche Erfahrungen/Referenzen hat der oder die Anbieterin in diesem Bereich? Auf welche Awareness-Projekte kann er oder sie verweisen? Ein zentraler Punkt bei der Suche nach eine externen Dienstleister:innen ist das Kosten-Nutzen-Verhältnis. Die Zusammenarbeit mit einem Managed Service Provider soll dazu dienen, sowohl die IT-Landschaft als auch das eigene Arbeiten effizienter zu gestalten. Am Ende des Tages ist es natürlich wichtig, dass die IT-Belegschaft oder das zuständige Systemhaus zu dem Anbieter ein gesundes Vertrauensverhältnis aufbauen kann. Wie sind die Prozesse beim MSP hinterlegt? Bestehen Zertifizierungen wie zum Beispiel ISO27001? Vorgabe sollte eine faire, unkomplizierte Zusammenarbeit auf Augenhöhe sein.

Ganzheitliche IT-Sicherheit in 3 Schritten

1. Themenbereiche identifizieren

In welchen Bereichen besteht Handlungsbedarf? Bei allgemeinen IT-Sicherheitsthemen wie Passwortsicherheit, Umgang mit vertraulichen Dokumenten, sichere Administration und Virenschutz oder der Verarbeitung personenbezogener Daten, mobile Sicherheit im Außendienst und im Home Office. Um den Erfolg der Maßnahmen sicherzustellen, sollten bereits in der Planungsphase Personen und Gruppen beteiligt werden, deren Meinung für das Unternehmen wichtig ist. Dazu gehört auch der oder die Datenschutzbeauftragte oder die Kommunikations- bzw. Presseabteilung. So lässt sich vermeiden, dass sich Personen übergangen fühlen.

2. Kommunikationskanäle festlegen

Warum das Rad neu erfinden? Sicherlich bestehen im Unternehmen bereits etablierte Kommunikationskanäle wie das Intranet oder ein E-Mail-Newsletter. Diese zu nutzen, erhöht die Akzeptanz bei den Mitarbeitenden und erleichtert dem oder der IT-Sicherheitsbeauftragten die Arbeit.

3. IT-Sicherheitsmaßnahmen umsetzen

Sicherheitsregeln erfreuen sich nicht gerade besonderer Beliebtheit. Visuelle Präsentationen verstärken hier den Lerneffekt. Online-Schulungen mit Prüfungen, interaktive Phishing-Simulationen und Poster am Arbeitsplatz prägen sich bei den Mitarbeitenden besser ein als ein einfaches Rundschreiben. Eine spielerische, unkonventionelle Wissensvermittlung verspricht dabei einen größeren Erfolg als strenge, regelorientierte Maßnahmen.

Ihr Partner für ganzheitliche IT-Sicherheit. Wir übernehmen für unsere Systemhauspartner und Unternehmen vollumfänglich den Bereich IT-Sicherheit. Von der UTM-Firewall über Cyber Security Awareness Trainings bis hin zur IT-Sicherheitsberatung.