Cyber-Kriminalität ist in deutschen Unternehmen mittlerweile fast alltäglich. Als eine der größten Schwachstelle für die IT-Sicherheit gelten weiterhin die eigenen Mitarbeiter. Deshalb ist hier die Unternehmensleitung in Sachen IT-Security gefordert. Wie lassen sich die aktuellen Informationen an die Belegschaft transportieren und wie gelingt es, sich als Unternehmen stets über Warnungen zu aktuellen Bedrohungen und neue Software-Updates zu informieren? „Die Unternehmen müssen den Überblick über die aktuellen Entwicklungen und die eigenen gewählten Sicherheitsmaßnahmen behalten“, erklärt UIMC-IT-Sicherheitsexperte Dr. Jörn Voßbein ohne die zeitlichen Herausforderungen, die das Thema gerade für kleine und mittelständische Unternehmen mit sich bringt aus den Augen zu verlieren. Die UIMC geht in einer fünfteiligen Reihe auf verschiedene Themen der Informationssicherheit ein. Im heutigen vierten Teil geht die UIMC auf den „Faktor Mensch“ ein.
Aktuelle Infos zu IT-Gefahren und verfügbaren Updates sollten sich gerade kleine und mittelständische Unternehmen über Newsletter beispielsweise des Bundesamtes für Sicherheit in der Informationstechnologie (BSI) oder auch über den monatlichen Newsletter-Service von UIMC besorgen. Allerdings sei an dieser Stelle bemerkt: Nur das Beziehen des Newsletters reicht nicht, er muss auch intensiv gelesen werden. Besonderer Vorteil beim BSI ist das Serviceangebot Newsletter für verschiedene Zielgruppen.
Ist das eigene Unternehmen umfassend zum Thema IT-Sicherheit informiert, ist ein erstes Etappenziel erreicht, aber Information, Sensibilisierung und Schulung der Belegschaft ist dadurch noch nicht umgesetzt. Wie schafft es nun die gut informierte Unternehmensleitung oder IT-Abteilung, die Mitarbeiterschaft in den IT-Sicherheitsprozess zu integrieren?
Zur Erinnerung: Der Mensch ist der größte „Risikofaktor“ bei der IT-Sicherheit. Unabhängig von der Unternehmensgröße sind die Mitarbeiterinnen und Mitarbeiter ein beliebtes Angriffsziel. Ein beispielhaftes Problem: Früher waren Phishing-E-Mails vergleichsweise leicht zu erkennen. Das hat sich verändert. Ein paar einfache Fragen erhöhen den Schutz bereits: Ist der Absender bekannt? Erwarte ich irgendwelche Informationen von ihm? Steht der eingefügte Link im Zusammenhang mit dem erwähnten Thema?
Für das UIMC-Expertenteam steht fest: Zur effektiven Umsetzung von Anforderungen ist es unerlässlich, die Mitarbeiter zu sensibilisieren und auf die zu ergreifenden Maßnahmen zu schulen. Hierzu bietet sich heutzutage eine webbasierte Schulungsplattform an. So können Mitarbeiter sensibilisiert und geschult werden; unabhängig, ob Sie im Büro, im Home-Office oder unterwegs sind. E-Learning kann eine sinnvolle Alternative zu klassischen Schulungen sein. Es kann aber auch den persönlich geschulten Mitarbeitern die Möglichkeit geboten werden, ihr Wissen zu vertiefen oder zu festigen (Kombination aus Präsenzschulungen und E-Learning).
Ein weiteres Feld zur Verbesserung der IT-Sicherheit ist das frühzeitige Melden von IT-Sicherheitsvorfällen. Das Melden solcher Vorfälle muss gefördert werden, so die UIMC, denn nur so ließe sich ein Maximum an Vorfällen erfassen. Eine „Kultur des nicht Bestrafens für Fehler“ ist hierbei eine wichtige Empfehlung, damit Probleme frühzeitig kommuniziert werden. „Das Thema IT-Sicherheit gehört in die Unternehmenskommunikation, ob Newsletter, Infoschrift oder Weihnachtsfeier. Alles mit dem Ziel, das Thema im Bewusstsein der Belegschaft zu verankern und Cyberattacken als wesentliche Bedrohung der eigenen Arbeit sowie des eigenen Unternehmens frühzeitig zu erkennen“, unterstreicht UIMC-Geschäftsführer Dr. Jörn Voßbein.
Aktuelle Infos zu IT-Gefahren und verfügbaren Updates sollten sich gerade kleine und mittelständische Unternehmen über Newsletter beispielsweise des Bundesamtes für Sicherheit in der Informationstechnologie (BSI) oder auch über den monatlichen Newsletter-Service von UIMC besorgen. Allerdings sei an dieser Stelle bemerkt: Nur das Beziehen des Newsletters reicht nicht, er muss auch intensiv gelesen werden. Besonderer Vorteil beim BSI ist das Serviceangebot Newsletter für verschiedene Zielgruppen.
Ist das eigene Unternehmen umfassend zum Thema IT-Sicherheit informiert, ist ein erstes Etappenziel erreicht, aber Information, Sensibilisierung und Schulung der Belegschaft ist dadurch noch nicht umgesetzt. Wie schafft es nun die gut informierte Unternehmensleitung oder IT-Abteilung, die Mitarbeiterschaft in den IT-Sicherheitsprozess zu integrieren?
Zur Erinnerung: Der Mensch ist der größte „Risikofaktor“ bei der IT-Sicherheit. Unabhängig von der Unternehmensgröße sind die Mitarbeiterinnen und Mitarbeiter ein beliebtes Angriffsziel. Ein beispielhaftes Problem: Früher waren Phishing-E-Mails vergleichsweise leicht zu erkennen. Das hat sich verändert. Ein paar einfache Fragen erhöhen den Schutz bereits: Ist der Absender bekannt? Erwarte ich irgendwelche Informationen von ihm? Steht der eingefügte Link im Zusammenhang mit dem erwähnten Thema?
Für das UIMC-Expertenteam steht fest: Zur effektiven Umsetzung von Anforderungen ist es unerlässlich, die Mitarbeiter zu sensibilisieren und auf die zu ergreifenden Maßnahmen zu schulen. Hierzu bietet sich heutzutage eine webbasierte Schulungsplattform an. So können Mitarbeiter sensibilisiert und geschult werden; unabhängig, ob Sie im Büro, im Home-Office oder unterwegs sind. E-Learning kann eine sinnvolle Alternative zu klassischen Schulungen sein. Es kann aber auch den persönlich geschulten Mitarbeitern die Möglichkeit geboten werden, ihr Wissen zu vertiefen oder zu festigen (Kombination aus Präsenzschulungen und E-Learning).
Ein weiteres Feld zur Verbesserung der IT-Sicherheit ist das frühzeitige Melden von IT-Sicherheitsvorfällen. Das Melden solcher Vorfälle muss gefördert werden, so die UIMC, denn nur so ließe sich ein Maximum an Vorfällen erfassen. Eine „Kultur des nicht Bestrafens für Fehler“ ist hierbei eine wichtige Empfehlung, damit Probleme frühzeitig kommuniziert werden. „Das Thema IT-Sicherheit gehört in die Unternehmenskommunikation, ob Newsletter, Infoschrift oder Weihnachtsfeier. Alles mit dem Ziel, das Thema im Bewusstsein der Belegschaft zu verankern und Cyberattacken als wesentliche Bedrohung der eigenen Arbeit sowie des eigenen Unternehmens frühzeitig zu erkennen“, unterstreicht UIMC-Geschäftsführer Dr. Jörn Voßbein.
