Security Awareness ist nicht einfach nur ein Training

Erst kürzlich erlebte der IT-Provider der Mainzer Stadtwerke einen massiven Ransomware-Angriff mit einer Schadsoftware, die die Daten und damit das Mobilitätsangebot in der Stadt beeinträchtigt hatte. Die Erpresser forderten von den Opfern Lösegeld, um die Daten wiederherzustellen. Dies ist nur einer der vielen Fälle von Cyberangriffen, die häufig vorkommen, und es werden sicherlich noch weitere folgen. 

Laut Forbes können Cyberkriminelle in 93 % der Fälle in die Unternehmensnetzwerke eindringen. Zusätzlich geben viele Verantwortliche für Security an, dass sie sich auf die kommenden Herausforderungen durch die Digitalisierung nicht vorbereitet fühlen. Aus unserer langjährigen Erfahrung wissen wir jedoch, dass in manchen Fällen selbst die beste Security-Infrastruktur Angriffe nicht abwehren kann. Um Cyberangriffe und den Diebstahl sensibler Daten zu verhindern, müssen Unternehmen auf den Faktor Mensch und die Schaffung der unternehmensübergreifenden Security Awareness bei den Mitarbeiter:innen achten. 

Die Zahl der Cyberangriffe auf Unternehmen wächst jedes Jahr stetig. Laut Bitcom e.V. verzeichnete die deutsche Wirtschaft 2018/2019 einen Schaden von 103 Milliarden Euro durch Cyberangriffe. Zum Vergleich: 2020/2021 verdoppelte sich der Verlust und erreichte 223 Milliarden Euro. Auch wenn viele Unternehmen stark in die Cyber-Security-Infrastruktur investieren, vernachlässigen sie oft das wichtigste Glied in der Sicherheitskette – die Mitarbeiter:innen. 

Mit der digitalen Transformation und neu aufkommenden Technologien wie Cloud und IoT wird die IT-Landschaft immer komplexer. Darüber hinaus werden die Cyberangriffe durch die Verlagerung hin zu Identitätsangriffen und den Einsatz psychologischer Techniken zur Manipulation von Mitarbeiter:innen immer ausgefeilter. In 41 % der untersuchten Unternehmen manipulierten Cyberkriminelle die Mitarbeiter:innen, um an sensible Kunden- und Geschäftsdaten zu gelangen (Bitcom e.V.). Mitarbeiter:innen fehlen oft die richtigen Cyber-Security-Kenntnisse, um verschiedene Angriffsszenarien zu erkennen. Gut ausgebildete Mitarbeiter:innen mit einem einheitlichen Verständnis für die Bedeutung von Sicherheitsmaßnahmen und einem Security-Mindset werden daher bei steigender Zahl von Cyberangriffen in Zukunft zu einem Wettbewerbsvorteil für Unternehmen führen. Daher ist es neben technischen Sicherheitsmaßnahmen (wie Zero Trust) auch wichtig, in die Mitarbeiter:innen zu investieren, um deren Cyber-Security-Awareness zu steigern und das Unternehmen langfristig zu schützen. 

Die meisten Unternehmen nutzen einfache Trainings, um das Sicherheitsbewusstsein der Mitarbeiter:innen zu erhöhen. Ein solches Training allein kann jedoch nicht erfolgreich sein, da die Zielgruppe Schwierigkeiten haben wird, das Wissen anzuwenden und längerfristig zu behalten. Daher ist ein umfassendes Cyber-Security-Awareness-Konzept notwendig, um in Unternehmen ein Security-Mindset sowie eine Security-Kultur zu entwickeln. 

Basierend auf unserer Erfahrung sowohl im Security-Bereich als auch im Change Management, haben wir drei unterschiedliche Dimensionen identifiziert, die adressiert werden müssen, um langfristig eine starke Security Awareness bei allen Mitarbeiter:innen zu gewährleisten: 

Auf Basis dieser Dimensionen hat Campana & Schott einen umfassenden Security-Awareness-Ansatz entwickelt. Im ersten Schritt erfassen wir die Ist-Situation in einem Unternehmen, um durch quantitative und qualitative Maßnahmen den initialen Security Awareness Score zu ermitteln. Anschließend leiten wir gezielte Maßnahmen und Empfehlungen ab und begleiten die Mitarbeiter:innen auf ihrem Weg zur Verbesserung der Security Awareness. Schließlich sorgen wir langfristig für eine nachhaltige Verankerung. 

Angesichts der zunehmenden Zahl von Cyberangriffen, die immer raffinierter und unvorhersehbarer werden, müssen Unternehmen so schnell wie möglich handeln und eine unternehmensweite Security Awareness zum Schutz ihrer sensiblen Daten etablieren. Security Awareness ist mehr als Phishing-Simulation und computergestütztes Training und es ist ein umfassender Ansatz erforderlich. Angesichts der aktuellen Bedrohungen müssen alle Türen zu Unternehmensdaten konsequent geschlossen werden – und alle Mitarbeiter:innen müssen dazu beitragen.