Nicht wichtig weil "es eh nur die Großen" trifft, weil "man immer erst hinterher schlauer ist" und schon gar nicht weil es "nicht meine Baustelle" ist? Doch, denn IT-Sicherheit geht am besten wenn alle Bescheid wissen und alle mitmachen. Wirklich alle. Sophos gibt IT-Verantwortlichen eine Reihe von Ratschlägen, wie in Unternehmen das Thema Sicherheit zur Selbstverständlichkeit für wirklich alle Mitarbeiter werden kann. [...]
4. Messen Sie, was Sie können, teilen sie die Ergebnisse mit
Der Spruch „was gemessen wird, wird auch gemanagt“ ist so wahr wie eh und je. Wenn Ihre Awareness-Kampagne sich beispielsweise mit dem Thema Phishing befasst, dann führen Sie regelmäßig Tests durch und überprüfen Sie, ob Verbesserungen erreicht wurden. Tests helfen Ihnen, die Effektivität Ihrer Kampagne und ihrer Materialien zu bewerten und sie unterstützen auch die Message selbst.
Seien Sie kreativ. Womöglich lassen sich die Ergebnisse noch schneller verbessern, wenn Sie ein „Naming and Shaming“ etablieren. Dabei müssen keinesfalls reale Personen an den Pranger gestellt werden. Die Nennung von Abteilungen, Divisionen oder Niederlassungen ist völlig ausreichend, um Aufmerksamkeit zu erregen. Veröffentlichen Sie die Listen und schicken Sie Süßigkeiten an die Gruppen mit den besten Ergebnisse und Info-Poster an die Tabellenletzten. Jede Aufmerksamkeit ist gut.
Falls solche Möglichkeiten intern nicht bestehen, können auch externe Dienstleister in Anspruch genommen werden. Aber bitte bedenken Sie: die wenigsten Arbeitnehmer gehen absichtlich Risiken oder setzen ihre eigene Firma einer Gefahr aus. Häufig sind fehlende Informationen der Grund für falsches Verhalten. Der kritische Punkt ist immer die Aufklärung – und die müssen Sie und Ihre Abteilung vor jedem Mitarbeitertest geleistet haben. Es ist schlicht nicht realistisch, dass die Arbeitnehmer einen Phishing-Versuch erkennen, ohne dass die IT ihnen jemals gezeigt hat, wie dieser aussieht.
5. Für Neuzugänge gilt: Gleich beim Jobantritt auf Nummer Sicherheit
Ein guter Start für die neuen Kollegen im Unternehmen zahlt sich auch für die IT-Sicherheit aus. Nun müssen diese an ihrem ersten Arbeitstag kein mehrstündiges Sicherheitstraining durchlaufen, aber es wäre sinnvoll, das Thema gleich prominent zu platzieren. Nutzen Sie auch hier jede Möglichkeit, die sich bietet. Gibt es ein Starter-Paket? Eine Onboarding-Präsentation? Stellen Sie sicher, dass das Thema IT-Sicherheit hier kurz und prägnant erklärt wird. Platzieren Sie eine Desktop-Verknüpfung zu Schulungsunterlagen auf dem Rechner der neuen Mitarbeiter oder ein kurzes Click-Through-Manual zu ihrer ersten Anmeldung. Auch hier gilt: messen Sie! Lassen Sie die Neuen nach 30 Tagen ein On-Boarding-Quiz durchführen und prüfen Sie, ob das nötige Wissen vorhanden ist.
6. Die „Broken Windows“ Theorie – seien Sie achtsam
Erstmals 1982 in einem Artikel der Sozialwissenschaftler James Q. Wilson und George L. Kelling vorgestellt besagt diese Theorie, dass eine hohe Aufmerksamkeit gegenüber kleinen Vergehen dazu führt, dass größere gar nicht erst entstehen.
Übertragen auf die IT-Sicherheit bedeutet dies: achten Sie auch auf Kleinigkeiten. Sehen Sie einen ungesicherten Computer? Gehen Sie nicht vorbei. Hören Sie, wie Mitarbeiter ihre Passwörter austauschen? Reagieren Sie.
Eine Kultur der Cybersicherheit können Sie kaum allein erschaffen – Sie brauchen Verbündete. Da sind ihre IT-Kollegen die erste Anlaufstelle. Aber auch Sicherheitsverantwortliche in anderen Abteilungen können hilfreich sein. Der Kollege in der Buchhaltung, der Ihnen jede Spam-E-Mail einzeln weiterleitet, mag zwar nerven, aber er ist Ihr Verbündeter und wird Sie bestimmt unterstützen, so gut er kann. (pi)
Be the first to comment