Gut geschulte Mitarbeiter und eine etablierte Sicherheitskultur sind in Sachen IT Security und Bedrohungsabwehr wichtige Bausteine für die Cyberresilienz eines Unternehmens.
Die Ergebnisse des Cy-Xplorer 2023-Berichts der Orange Cyberdefense unterstreichen, dass Phishing nach wie vor der wichtigste Angriffsvektor für Cybererpressung und Ransomware ist. Cyberkriminelle nutzen Schwachstellen innerhalb von 29 Tagen nach ihrer Aufdeckung und die Verschlüsselung kann in nur vier Minuten erfolgen. Zeit ist also ein entscheidender Faktor. Daraus folgt, dass Unternehmen und ihre Mitarbeiter schnell und entschlossen reagieren müssen.
Unternehmen sind mehr und mehr auf Cyberresilienz bedacht, um auf Störungen in den Geschäftsabläufen durch Cyberangriffe vorbereitet zu sein. Unter Cyberresilienz versteht man im Allgemeinen die Fähigkeit einer Organisation, Bedrohungen vorauszusehen, ihnen zu widerstehen, auf sie zu reagieren und sich an sie anzupassen. Ein zentraler Bestandteil dieser Fähigkeit sind alle Mitarbeiter und die von ihnen gelebte Sicherheitskultur. Diese Bemühungen gehen weit über den Aufgabenbereich der IT-Abteilung hinaus und beziehen alle Mitarbeiter im gesamten Unternehmen ein. Diese Mitarbeiter müssen mit der Notfallplanung, den Meldeverfahren und den Notfallprotokollen vertraut sein. Das gilt sowohl für den einzelnen Mitarbeiter als auch für die Mitarbeiter in Funktionen mit besonderer Verantwortung.
Training schult, Engagement verändert Verhalten
Um die Fähigkeiten aufzubauen, die die Grundlage für Resilienz bilden, ist regelmäßiges Training erforderlich. Die Kultivierung neuer Verhaltensweisen lässt sich mit dem Erlernen des Fahrradfahrens vergleichen, einmal erlernt und verinnerlicht, wird die Fähigkeit ein Leben lang erhalten bleiben. Anfänger müssen sich mit dem Gleichgewicht, den Mechanismen des Beschleunigens und Verlangsamens sowie den Straßenverkehrsregeln auseinandersetzen. Erfahrene Radfahrer denken einfach darüber nach, wohin sie fahren wollen, und das Navigieren sowie das sichere Fahren auf der Straße geschieht unbewusst. Genauso wichtig ist das Erlernen der Verkehrsregeln, auch diese müssen gelehrt, gelernt und täglich angewendet werden. Neue Sicherheitsverhaltensweisen müssen letztlich auf ähnliche Weise kultiviert werden. Erstens müssen wir lernen, warum sie notwendig sind, wie sie funktionieren und was sie sind. Zweitens müssen wir lernen, wann wir sie einsetzen müssen. Und drittens müssen wir diese Verhaltensweisen zu unserer zweiten Natur machen.
Erfolgreiche Programme zur Förderung der Security Awareness ermöglichen es Unternehmen, ihre Mitarbeiter auf diese Weise zu schulen. Sie beinhalten interessante und ansprechende Inhalte, konzentrieren sich auf drei bis vier Schlüsselbotschaften und halten sich über die neuesten Themen und Methoden der Angreifer auf dem Laufenden. Die Schulungen im Rahmen dieser Programme sollten mindestens monatlich stattfinden, inhaltlich auf den Arbeitsalltag und Herausforderungen abgestimmt sein und durch simuliertes Phishing ergänzt werden. Darüber hinaus gilt es natürlich auch die Compliance-Anforderungen zu beachten und vor dem Aufsetzen des Security Awareness-Trainings in die Konzeption mit einfließen zu lassen.
Phishing-Simulationen dienen geschäftlichen Zwecken
Bei Phishing-Simulationen werden Phishing-E-Mails basierend auf vorgefertigten Templates an Mitarbeiter verschickt. Diese orientieren sich an Vorlagen, die bereits in unzähligen Honey Pots gefunden wurden und sehen dadurch „echt“ aus. Sie enthalten in der Regel eine oder mehrere sogenannte „rote Flaggen“, um ein wichtiges Lernelement zu veranschaulichen. Betreffzeilen und Aktivierungsbotschaften reichen von Business E-Mail Compromise, IT-Support-Anfragen, Buchhaltungsanliegen, Chefbetrug bis hin zu Aufforderungen von Social-Media- oder E-Commerce-Plattformen. Statistiken zeigen, dass mehr als 50 Prozent der Phishing-E-Mails aus dem Bereich Personalverwaltung stammen und Themen wie Urlaubsplanung, Feiertagen oder Fragen zu Überweisungen beinhalten. Phishing per E-Mail lässt sich einsetzen, um das Bewusstsein der Mitarbeiter für Cyberbedrohungen zu schärfen. Es kann Unternehmen auch dabei helfen, Schwachstellen in ihrer Software und in der Belegschaft zu erkennen.
Messbarkeit und Vergleichbarkeit schaffen
Simuliertes Phishing bietet auch einen Maßstab für den Erfolg der Investitionen in die Security Awareness. Die Auswertung, wie viele Mitarbeiter auf einen Link geklickt haben, lässt sich messen und dadurch mit anderen Unternehmen aus ähnlichen Branchen vergleichen. Aus dem Durchschnitt können Aussagen über die eigene Cyberresilienz getroffen werden, die wiederum als Argumentation für die interne Vergabe von Budgets genutzt wird. Wiederum zeigen die Statistiken, dass wenn Mitarbeiter regelmäßig mit Phishing-E-Mails konfrontiert werden, die Erkennungsraten nach einem Security Awareness-Training steigen. Trainings wirken also, wenn sie oft genug und mit der nötigen Eigenmotivation durchgeführt werden. Letztere kann jedoch nur entstehen, wenn eine transparente Fehlerkultur geschaffen wird, in der es nicht darum geht für einen Fehlklick bestraft zu werden. Vielmehr geht es darum, Hilfestellung zu geben, Wissen zu vermitteln und über eine klare Kommunikation – in Absprache mit der Geschäftsleitung und dem Betriebsrat – mit positiver Verstärkung eine Verhaltensänderung herbeizuführen.
Fazit
Steht die Geschäftsleitung zusammen mit dem Betriebsrat hinter den Maßnahmen und helfen diese der Belegschaft zu vermitteln, entstehen positive Effekte, die sich auch auf die langfristige Einstellung zur Informationssicherheit auswirken und in die Sicherheitskultur münden. Mitarbeiter sind nach regelmäßigen Schulungen besser auf die Gefahren vorbereitet als zuvor, dies zeigen nicht nur die Auswertungen von simulierten Phishing-Tests, sondern auch wie oft und wie schnell Mitarbeiter Phishing-Versuche an die IT-Abteilung weiterleiten und entsprechen kennzeichnen. Das Wissen und die Möglichkeit dieses Wissen auch anzuwenden sind für Mitarbeiter die Voraussetzung, um einen positiven Beitrag zum Schutz ihres Unternehmens zu leisten. Denn letztendlich sind es die Mitarbeiter, die die Cyberresilienz von innen heraus stärken.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.