Cyber-Kriminelle werden bei der Datenbeschaffung immer kreativer. Seien es täuschend echt aussehende Phishing-Mails, die durch unbedachte Klicks beispielsweise Zugangsdaten abgreifen oder Malware nachladen, oder Betrüger, die sich über KI-generierte Deep Fakes als Vorgesetzte ausgeben. Unternehmen müssen sich mit Informations- und IT-Sicherheit – besonders vor dem Hintergrund der schnellen Veränderungen in der IT-Welt – immer mehr auseinandersetzen. Das Sicherheitsbewusstsein Ihrer Mitarbeitenden zu stärken ist davon ein wichtiger Bestandteil.
Informationssicherheit ist unbeliebt
There is no glory in prevention – die durch den Virologen Christian Drosten bekannt gewordene Aussage, dass mit Prävention kein Ruhm zu gewinnen ist, trifft in gleicher Weise auch auf die Informationssicherheit zu. Für Mitarbeitende in Unternehmen sind Maßnahmen zur Informationssicherheit bestenfalls unsichtbar, manchmal aber auch lästig und werden deshalb häufig auf die leichte Schulter genommen. Komplexe Passwörter, zusätzliche Schritte bei den verschiedensten Anmeldungen und andere notwendige Maßnahmen sind bei der täglichen Arbeit nicht unbedingt beliebt.
Aber nicht nur, dass für Mitarbeitende Informationssicherheit mitunter ein Störfaktor sein kann. Für Unternehmen bedeutet Informationssicherheit auch eine finanzielle Belastung. Fachpersonal und IT-Services, die den Schutz von Daten gewährleisten, haben ihren Preis, dessen Wertbeitrag oft nicht erkannt wird.
Die Wichtigkeit von Security Awareness
Um Daten im Unternehmen wirksam zu schützen, sind jedoch Wissen und Verständnis sowie Verhalten und Normierung, also die sogenannte Security Awareness, von großer Bedeutung. Dies gilt für alle Ebenen eines Unternehmens von den Fachkräften bis hin zur Chefetage.
Denn technische Maßnahmen allein können die erforderliche Sicherheit nicht gewährleisten. Nur wenn alle Mitarbeitenden ein gutes Verständnis für die Bedeutung der Informationssicherheit haben und mögliche Risiken und Angriffsvektoren kennen, kann ein angemessenes Sicherheitsniveau erreicht werden. Daher setzen sich etwa 60-70 % der Unternehmen dafür ein, ihre Mitarbeitenden beim Thema IT-Sicherheit zu sensibilisieren.
Cyber-Kriminelle nutzen bei ihren Betrugsversuchen oft die Schwachstelle Mensch. Davor können auch die beste Firewall und die sicherste IT-Infrastruktur nicht schützen. Ein Beispiel ist der als CEO-Fraud bekannte Social-Engineering-Angriff: Angreifer veranlassen hierbei Mitarbeitende eines Unternehmens unter Vorgabe einer falschen Identität dazu, illegitime Finanztransaktionen zu tätigen. Allein durch diese Betrugsmasche entstehen der Wirtschaft jährlich Schäden in Milliardenhöhe. Diese und weitere perfide Taktiken von Kriminellen sind oft nicht auf den ersten Blick als Betrugsversuche erkennbar und werden somit oft unterschätzt.
Maßnahmen zur Stärkung des IT-Sicherheitsbewusstseins
Es ist essenziell, dass sich alle im Unternehmen der Risiken im Umgang mit sensiblen Informationen bewusst sind – sowohl aus betriebswirtschaftlicher als auch rechtlicher Sicht, nicht zuletzt auch im Hinblick auf mitunter erhebliche Schäden für die Reputation und Geschäftsgrundlage eines Unternehmens. Daher sind verpflichtende regelmäßige Awareness-Schulungen und zusätzliche Angebote rund um IT- und Informationssicherheit empfehlenswert. Diese können Unternehmen einerseits selbstständig in Abstimmung mit internen Expert*innen und unter Zuhilfenahme von
Awareness-Tools durchführen. Darüber hinaus gibt es zahlreiche marktverfügbare Angebote als Webinare, interaktive Selbstlernkurse und mehr. Ziel solcher Maßnahmen ist, das Sicherheitsbewusstsein in den Köpfen aller Mitarbeitenden im Unternehmen zu verankern, die im Unternehmen etablierten Maßnahmen und Prozesse transparent zu machen und einen sensiblen Umgang mit Informationen kontinuierlich zu fördern – sowohl auf technischer als auch auf organisatorischer Ebene.
