foto freepik

Laut Bitkom schult nur ein Drittel der Unternehmen alle Mitarbeitenden in Grundlagen der IT-Sicherheit. Ein großer Teil der Firmen bietet Schulungen jedoch nicht regelmäßig an. Nur etwa jeder vierte Betrieb (24 Prozent) führt nach eigenen Angaben mindestens einmal im Jahr Schulungen durch. Bei 23 Prozent der Betriebe werden die Mitarbeiter bei Bedarf und bei der Einstellung geschult. 15 Prozent der Unternehmen führen überhaupt keine IT-Sicherheitsschulungen durch. Dabei ist der Mensch nach wie vor das größte Sicherheitsrisiko in Unternehmen — und Phishing-Aktionen sowie andere Angriffe werden immer raffinierter. Daher ist es wichtiger denn je, die Belegschaft regelmäßig in Bezug auf Sicherheitsrisiken zu sensibilisieren und sie in Bezug auf die Nutzung von Tools und Sicherheitsmaßnahmen zu schulen, erklärt Andreas Rothkamp, Vice President DACH bei Skillsoft.

Andreas Rothkamp, Vice President DACH bei Skillsoft

Was sind aktuell besonders große Sicherheitsrisiken – und spielt der Einsatz von KI dabei eine Rolle?

Cyberkriminelle finden immer wieder Wege, in Unternehmen einzudringen, sei es durch direkte Netzwerkangriffe oder durch Phishing und Social-Engineering-Attacken auf Mitarbeitende. Diese ständige Bedrohung stellt nach wie vor ein hohes Sicherheitsrisiko dar. Die generative KI hat jedoch »neue Wege« für Angreifer eröffnet, die die Cybersicherheit vor große Herausforderungen stellen. Eine große Sorge ist, dass diese Technologie die Einstiegshürden in die Cyberkriminalität gesenkt hat. Mit Hilfe der generativen KI können auch technisch weniger versierte Cyberkriminelle erschreckend effektive Phishing-Attacken (»Scams«) starten und neue Malware-Stämme entwickeln, um Angriffe zu erleichtern.

Warum sind gerade »Insider Threats« trotz Einsatz von Sicherheits-Tools kaum verhinderbar?

Ganz gleich, ob es sich um Mitarbeitende handelt, die versehentlich eine ungeschützte Datenbank offenlassen, oder um Kollegen, die mittels einer ungesicherten App über sensible Daten diskutieren – die Identifizierung und Unterscheidung zwischen versehentlichen, fahrlässigen und böswilligen Insider-Bedrohungen kann schwierig sein. Umso wichtiger ist es, die Mitarbeitenden über Insider-Bedrohungen und Möglichkeiten zur Risikominderung aufzuklären und zu schulen.

Welche zusätzlichen Gefahren gehen durch die vermehrte Home-Office Tätigkeit aus und wie können diese relativiert werden?

Die Arbeit von zu Hause aus kann zu Sicherheitsrisiken wie ungesicherten Wi-Fi-Netzwerken, fehlender Verschlüsselung und potenziellem Gerätediebstahl führen. Mitarbeitende könnten unwissentlich Malware herunterladen oder Opfer von Phishing-Angriffen werden. Um dies zu vermeiden, ist es wichtig, leistungsfähige Cybersicherheitsmaßnahmen und -richtlinien zu implementieren und regelmäßige Schulungen für Heim- und Außendienstmitarbeitende anzubieten. Die Verwendung von virtuellen privaten Netzwerken (VPNs), sicheren Passwörtern und Multi-Faktor-Authentifizierung, Malware-Schutz, regelmäßige Software-Updates und Sicherheits-Patches sowie eine sicherheitsbewusste Kultur der Telearbeit können dazu beitragen, die Risiken zu mindern.

Ist der USB-Stick, der am Parkplatz gefunden wird, immer noch ein Thema?

Ja, natürlich. Das Hauptrisiko bei USB-Sticks, die z.B. auf dem Parkplatz gefunden werden, besteht darin, dass sie von Cyberkriminellen mit dem Ziel dort zurückgelassen worden sein könnten, dass jemand sie findet und den mit Malware verseuchten USB-Stick in seinen Computer einsteckt, wodurch der Cyberkriminelle in das Gerät eindringen und es gefährden kann. Andererseits stellt der Verlust eines jeden Endgeräts, sei es ein USB-Stick, ein Laptop oder ein Mobiltelefon, eine Sicherheitsbedrohung dar. Die Mitarbeitenden müssen vorsichtig sein und sicherstellen, dass sie ihre Geräte nicht verlieren oder Laptops an öffentlichen Orten unbeaufsichtigt lassen. Die Geräte sollten passwortgeschützt sein, und wenn sie verloren gehen, sollten die Mitarbeitenden dies sofort den zuständigen Ansprechpartnern melden.

In welchen Bereichen lohnen sich Schulungen in Bezug auf IT-Sicherheit?

Für die Belegschaft sind Schulungen zur IT-Sicherheit in Bereichen wie Phishing, Passworthygiene, Gerätesicherheit, Datenschutz und sichere Remote-Arbeitspraktiken besonders wertvoll. Die Konzentration auf diese Bereiche erhöht die allgemeine IT-Sicherheit in einem Unternehmen. Für Sicherheitsteams empfiehlt sich zusätzlich der Zugang zu fortlaufenden Schulungen, um über die neuesten technologischen Entwicklungen, Bedrohungen und Möglichkeiten zum sicheren Umgang mit technischen und cyberkriminellen Tools, Taktiken und Verfahren auf dem Laufenden zu bleiben. Im Zeitalter der KI werden Cybersicherheitsexperten, die sich nicht anpassen, von Cyberkriminellen und ihren Kollegen, die sich KI zu eigen machen, überlistet.

Welche Methoden eignen sich besonders, um die Belegschaft zur Mitarbeit zu motivieren und das Wissen um Sicherheitsrisiken zu verinnerlichen und im Alltag umzusetzen?

Die Mitarbeitenden von heute sind zeitlich sehr eingespannt und jonglieren ständig mit verschiedenen Aufgaben, daher schätzen sie den Zugang zu Lerninhalten auf Abruf, auf jedem Gerät und zu jeder Tageszeit. Außerdem sollten die Lerninhalte in kleinen Häppchen vermittelt werden, damit sie möglichst schnell aufgenommen und behalten werden. Danach müssen konstant Lernmöglichkeiten angeboten werden, um die Aufnahme und das Behalten von Informationen zu verstärken. Schließlich lernt jeder Mensch anders, sodass es eine große Auswahl an Medienoptionen den Einzelnen ermöglicht, die für ihn/sie beste Lernmethode zu wählen – Video, Podcast, Lesen und praktische Tests. Angesichts der sich ständig weiterentwickelnden Bedrohungslandschaft stellen diese Methoden sicher, dass die Mitarbeitenden ständig an gute Cybersicherheitspraktiken erinnert werden.