08. Oktober 2024

Cybersicherheitsvorfälle: Mitarbeitende als schwächstes Glied in der Cybersicherheit?

Cybersicherheitsvorfälle

Unzählige Untersuchungen zeigen, dass die allermeisten Cybersicherheitsvorfälle auf menschliche Fehler zurückzuführen sind. Adäquate Schulungen können helfen, dieses Risiko zu verkleinern und damit die Sicherheit des Unternehmens zu stärken. Warum die Mitarbeiterausbildung in diesem Bereich so wichtig ist und wie effektive Awareness­Programme auszugestalten sind, wird in diesem Artikel dargelegt.

Von: Simon Schneiter  

Simon Schneiter

Simon Schneiter

Simon Schneiter, M.A. HSG (Informations-, Medien- und Technologiemanagement), Head GRC & Information Security Consulting bei ensec AG.

Vor 24 Jahren programmierte ein jun­ger Philippiner ein Stück Computer­code, welches weltberühmt werden sollte. Im Mai 2000 breitete sich das Loveletter-Virus explosionsartig per E-Mail aus. Damals waren E-Mails mit schädlichen Anhängen noch weit­gehend unbekannt, und so ist es ver­ständlich, dass Millionen von Men­schen in der Hoffnung auf eine nette Liebesbotschaft das Virus ausführten. Rund ein Vierteljahrhundert später sind die Menschen weitaus besser in­formiert über Themen wie Phishing, Computerviren und Hacker. Oder?

Schwächstes Glied

Leider wird immer noch sehr häufig etwas angeklickt, was sich schlussend­lich als schädlich herausstellt. Unzähli­ge Studien zeigen, dass der sogenann­te menschliche Fehler immer noch die mit Abstand grösste Risikoquelle für Cybersicherheitsvorfälle ist. Das Sicherheitsunternehmen Tessian hat zusammen mit dem Stanford-Professor Jeff Hancock eine Studie namens «Psy-chology of Human Error 2022» durch­geführt, in welcher aufgezeigt wurde, dass ganze 88% der Datensicherheits-verletzungen auf Fehler der Mitarbei­tenden zurückzuführen sind. Gemäss dem Global Risk Report des WEF aus dem Jahr 2022 sind es sogar 95%.

Investitionen in angemessene techni­sche Sicherheitslösungen sind uner­lässlich. Aber selbst die allerbesten technischen Massnahmen nützen wenig, wenn Mitarbeitende mit ihren Zugangsdaten falsch umgehen, auf Phishing-Mails hereinfallen oder Vor­schriften zum Umgang mit sensiblen Daten nicht beachten.

Rechtliche Vorgaben

Unternehmen, die in regulierten Bran­chen tätig sind, sind oft mit Anfor­derungen konfrontiert, welche eine Schulung der Mitarbeitenden in den Bereichen Datenschutz und -sicher-heit explizit oder implizit vorsehen. Und auch das neue Datenschutzgesetz macht implizit eine Mitarbeiterschu­lung notwendig – wie sonst sollen die organisatorischen Massnahmen zur Datensicherheit greifen?

Wirksame Schulungen

Einmal pro Jahr 45 Minuten Frontal­unterricht oder ein webbasiertes Trai­ning? Dass das kaum wirksam ist, dürfte heute den meisten Entschei­dungsträgern klar sein. Wer es dabei belässt, macht Mitarbeiterschulungen oft nur, um entsprechenden Vorgaben zu genügen, und nicht, um die Sicher­heit des Unternehmens effektiv zu stärken.

Eine wirksame Schulung muss über die reine Wissensvermittlung hinaus­gehen. Es gilt, das Bewusstsein für Cyber sicherheit zu fördern und die Mitarbeitenden dazu zu bringen, in diesem Sinne zu denken und zu han­deln. Um dies zu erreichen, sollten Schulungen die folgenden Hauptmerk­male aufweisen:

  • relevant und zielgerichtet: Die Schu­lungsinhalte sollten zielgruppen-gerecht, das heisst auf die spezifi­schen Rollen und Zuständigkeiten der Mitarbeitenden zugeschnitten sein und sich mit den Sicherheitsherausforderungen befassen, denen sie bei ihrer täglichen Arbeit be­gegnen. Es ist wichtig, die unter­schiedlichen Kenntnisse der Mitar­beitenden zu berücksichtigen und Schulungen anzubieten, die für alle zugänglich und relevant sind.
  • ansprechend und interaktiv: Klassen-zimmeratmosphäre ist nicht beson­ders förderlich für die Aufmerksam­keit. Interaktive und ansprechende Methoden wie Simula tionen, Rol­lenspiele und Gamification sowie der geschickte Einsatz unterschied­licher Medien können einen aktiven und intensiven Lernprozess begüns­tigen.

  • kontinuierlich statt einmalig: Es gibt gleich zwei gute Gründe, um Schu­lungen kontinuierlich und mehr­mals jährlich stattfinden zu lassen. Erstens verblasst die Wirkung einer einmaligen Schulung meist relativ schnell, und bloss durch mehrmali­ges Wiederholen werden Wissen und Know-how im Gedächtnis effektiv verankert. Zweitens entwickelt sich die Bedrohungslandschaft ständig weiter, und das Bewusstsein der Mitarbeitenden muss damit Schritt halten.

  • messbar und nachvollziehbar: Eine wirksame Schulung sollte sich po­sitiv auf die Sicherheitslage des Unternehmens auswirken. Die An­zahl der absolvierten Schulungen des Personals zu messen, ist jedoch eine eher schlechte Kennzahl dafür. Aussagekräftiger sind Kennzahlen wie z. B. die Phishing-Anfälligkeit, die Anzahl der Sicherheitsvorfälle und der Sensibilisierungsgrad der Mitarbeitenden. Letzterer lässt sich mit entsprechenden Tests und/oder Umfragen erheben.

Wichtige Vorbildfunktion

Es mag abgedroschen klingen, dass Personen in Führungspositionen mit gutem Vorbild vorangehen sollen. Un­tersuchungen zeigen jedoch klar, dass es so ist. Führungskräfte beeinflussen das Verhalten und die Einstellung der Belegschaft. Sie tun dies mit dem, was sie sagen und wie sie es sagen – viel mehr jedoch noch mit ihrem Verhal­ten. Dementsprechend ist ihr Einfluss auf den Erfolg der Schulungsmass­nahmen kaum zu unterschätzen. Und genau dies gilt es dem Management bewusst zu machen. Auf welche Art dies idealerweise geschieht, ist abhän­gig von der Unternehmenskultur und den jeweiligen Persönlichkeiten. Eini­ge Organisationen setzen auf spezielle Management-Awareness-Schulungen, andere auf dedizierte Risiko-Work­shops und wieder andere auf bilaterale Gespräche zwischen den für die IT-Sicherheit verantwortlichen Personen und der Unternehmensleitung.

Aufwand reduzieren

Cybersicherheitsschulungen sind wich­tig. Demgegenüber stehen jedoch oft limitierte personelle Ressourcen und etliche andere ebenso wichtige Aufga­ben. Hier kann es sich lohnen, in Tools und Services zu investieren, welche die Aufwände signifikant senken. Es gibt etliche Anbieter, welche Kombina­tionen von vorgefertigten webbasierten Trainings in Kombination mit (teil-)automatisierten Phishing-Simulationen anbieten. Einige davon liefern sogar passende Inhalte, mit welchen auch andere Kanäle bespielt werden können (Info-Mails, Printplakate, Games etc.). Und wenn finanzielle Ressourcen die grössere Herausforderung sind, so lassen sich mit ein wenig Recherche etliche Quellen mit frei verfügbaren In­halten finden.

Fazit

Cyberattacken können jeden treffen. Die Eintrittswahrscheinlichkeit und das potenzielle Schadensausmass las­sen sich aber durch gezielte Massnah­men senken. Eine besonders wichtige Massnahme ist die Schulung der Mit­arbeitenden – zumal die allermeisten Cyberangriffe immer noch auf mensch­liches Versagen zurückzuführen sind. Dabei sollte auf zielgerichtete und re­levante Schulungsinhalte gesetzt wer­den, welche ansprechend und attraktiv präsentiert werden. Das zu vermitteln­de Wissen und Know-how sollte besser in kleineren Häppchen, dafür öfter ser­viert werden. Vorgesetzte müssen sich ihrer Vorbildfunktion bewusst sein und diese wahrnehmen. Und die Effektivi­tät der Schulungen gilt es mit adäqua­ten Kennzahlen zu messen.

Um unsere Website laufend zu verbessern, verwenden wir Cookies. Durch die Nutzung dieser Website stimmen Sie der Verwendung von Cookies zu. Mehr Infos