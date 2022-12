Die gute Nachricht: Die beste Verteidigung gegen Cyberkriminelle ist auch die kostengünstigste – Die schlechte Nachricht: Es ist auch die am wenigsten erfolgreiche.

Der europäische Monat für Cybersicherheit liegt noch nicht lange zurück. Der »European Cybersecurity Month« (ECSM), so die korrekte Bezeichnung, ist eine seit 2012 stattfindende jährliche Kampagne der EU, die das Bewusstsein für Cybersicherheit stärken soll. Koordiniert wird das Ganze von der EU-Agentur für Cybersicherheit (ENISA) und der EU-Kommission. In Deutschland koordiniert das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Aktionen zu den großen Themen IT-Sicherheit, Schulungen und die generelle Sensibilisierung von Firmen und Nutzern.

Anzeige

Leider haben sowohl Firmen als auch einzelne deutlichen Nachholbedarf. Immer wieder gelingt es Cyberkriminellen trotz teuer eingekaufter Sicherheitslösungen, in Firmennetze einzudringen. Angeführt werden die Statistiken von Phishing, geknackten und gestohlenen Passwörtern, physischen Angriffen und Social Engineering. Aber fast alle Arten von Angriffen lassen sich, wenn nicht verhindern so doch drastisch reduzieren. Das gelingt vor allem dann, wenn Mitarbeiter die Schulungen der IT-Abteilung zu digitalen Verhaltensweisen wirklich verstanden haben und in ihrem Arbeitsumfeld konkret umsetzen können. Gleichzeitig ist es eindeutig kostengünstiger, jemandem aus der Buchhaltung beizubringen, keine verdächtigen PDF-Dateien zu öffnen, die an eine E-Mail »vom Direktor« angehängt wurden. In der Realität ist es leider nicht ganz so einfach.

Sieben von zehn Unternehmen unter Beschuss

Jeder Beschäftigte weiß mittlerweile, warum IT-Sicherheit für den Fortbestand und das Überleben des Unternehmens entscheidend ist. Die überwiegende Mehrheit kennt die notwendigen Aktionen und Sicherheitsmaßnahmen, um ein angemessenes Sicherheitsniveau aufrechtzuerhalten. Zwischen guter Absicht und praktischer Umsetzung klafft allerdings eine deutliche Lücke.

Die meisten Mitarbeitenden gehen entweder (fälschlicherweise) davon aus, dass sie durch Softwarelösungen des Unternehmens ausreichend geschützt sind, oder sie sind im beruflichen Alltag so eingespannt, dass Sicherheitsrichtlinien und Best Practices zu kurz kommen. Wider besseren Wissens geht auch manch einer immer noch davon aus, nicht betroffen zu sein. Fehleinschätzungen wie diese führen regelmäßig dazu, dass Nutzer selbst mit den besten Absichten auf Phishing-Angriffe und CEO-Fraud hereinfallen, bösartige Dateien öffnen oder wie zufällig herumliegende USB-Sticks an ihren Rechner einstecken und automatisch eine Malware einspielen – was beispielsweise eine Ransomware-Attacke in Gang setzt.

Eine Umfrage des dänischen Unternehmerverbands hat beispielsweise ergeben, dass sieben von zehn Unternehmen in den letzten zwei Jahren Ziel von Angriffsversuchen durch Cyberkriminelle waren. Nach einer Studie des Bitkom vom August diesen Jahres entstand der deutschen Wirtschaft durch Diebstahl von Daten, Spionage und Sabotage ein Schaden von 203 Milliarden Euro. Dabei wird nach Angaben des Bitkom praktisch jedes Unternehmen zum Opfer: 84 Prozent aller Firmen waren im vergangenen Jahr betroffen, weitere 9 Prozent gehen davon aus. Zugleich haben sich die Angriffe professionalisiert. Sämtliche Statistiken zeigen zudem einen starken Anstieg nach der Corona-Pandemie. Jeder, der in der IT-Sicherheit tätig ist, weiß, dass es nur eine Frage der Zeit ist, bis es zu Angriffen kommt.

Weniger menschliche Fehler – weniger Angriffe

Welche Maßnahmen tragen also dazu bei, einen hohen Standard bei der IT-Sicherheitshygiene zu gewährleisten? Neun von zehn erfolgreichen Angriffen gehen auf menschliches Versagen zurück. Aber die Erfahrung lehrt, dass sich die Zahl der Fehler durch Aus- und Weiterbildung drastisch senken lässt.

Ein guter Tipp ist, die Schulungen so relevant, praxisnah und verständlich wie möglich zu gestalten. Denken Sie etwa an alltägliche Beispiele von Phishing-E-Mails oder CEO-Betrug, die in Ihrem Unternehmen bereits vorkommen und somit nah an der Realität sind. Dann erkennen Mitarbeiter sehr klar, dass ihre Firma aktuell bereits angegriffen wird. Machen Sie deutlich, welche Konsequenzen ein Angriff haben kann.

Dabei sollten Sie nicht zu viel auf einmal wollen. Ein Sicherheitstraining in kleinen Einheiten mit unterschiedlichen Themen über einen längeren Zeitraum ist deutlich wirkungsvoller als Marathonsitzungen. So dienen die einzelnen Einheiten auch zur Auffrischung von früheren Schulungen. Daneben sollten Sicherheitsmaßnahmen einfach umzusetzen und nachvollziehbar sein. Das heißt, Sie sollten Art und Umfang von Schulungen an den verschiedenen internen Mitarbeitergruppen ausrichten. Trainings für die Buchhaltung sind inhaltlich anders aufgebaut als solche für den Vertrieb.

Aber am wichtigsten ist: All das muss immer im Dialog mit den Mitarbeitern geschehen. Bezieht man die Nutzer nicht ein, bleibt es oft bei der guten Absicht – und in der Realität halten sich schlechte Gewohnheiten hartnäckig. Der Markt hält Spezialisten bereit, die sich mit der geeigneten Herangehensweise auskennen, und es ist nicht schlechteste Idee bei Bedarf auf externe Unterstützung zu setzen.

Steffen Friis, VIPRE Security Group