Der Cybersecurity Awareness Month ist ein guter Anlass, den Unternehmen nutzen sollten, aus ihren Mitarbeitenden waschechte Cyber-Aktivisten zu machen. Das lässt sich allerdings nicht mit einer Rundmail oder Selbstschulungsdokumenten erreichen. [...]
Den Oktober verbinden die Menschen auch hierzulande vor allem mit dem aus den USA herübergeschwappten „Spooktober“, der am letzten Tag in Halloween kulminiert. Zum Gruseln sind dieser Tage aber nicht nur Horrorfilme, Geistergeschichten und das ein oder andere Kostüm, sondern auch die Bedrohungslage im Cyberspace. Aus diesem Grund – vielleicht auch gerade wegen der symbolischen Strahlkraft – zelebriert die Welt jedes Jahr im Oktober den Cybersecurity Awareness Month. Ein passender Anlass, den Unternehmen nutzen sollten, aus ihren Mitarbeitenden waschechte Cyber-Aktivisten zu machen. Das lässt sich allerdings nicht mit einer Rundmail oder Selbstschulungsdokumenten erreichen.
Wie also sollten Unternehmen und deren CISOs vorgehen, um ihre Mitarbeitenden für dieses heikle Thema zu sensibilisieren und ihnen die nötige Routine zu vermitteln? Zunächst einmal ist es wichtig, ihr Bewusstsein zu schärfen. Zu diesem Prozess gehört natürlich der regelmäßige Reminder, Passwörter möglichst kompliziert aufzusetzen, sie keinesfalls weiterzugeben und nicht auf dubiose Anhänge und ominöse Links in Mails zu klicken. Auch wenn das kleine Ein-Mal-Eins der Cybersecurity nicht ausreicht, um Cyber-Aktivisten auszubilden, gehört es doch zu den dringend nötigen Basics, frei nach dem Motto „Steter Tropfen höhlt den Stein“.
Ein zweiter Schritt sollte sein, sich ab und zu den „Spooktober“ wieder ins Gedächtnis zu rufen und die Mitarbeitenden einer kleinen Schocktherapie zu unterziehen: In vielen Unternehmen senden die Sicherheitsbeauftragten vermeintliche Phishing-Mails an ihre Kolleginnen und Kollegen, die sie bei Anklicken des Links auf eine Webseite weiterleiten, auf der in roter Signalfarbe „Sie wurden gehackt“ oder etwas Ähnliches steht, statt den erwarteten Inhalt zu präsentieren. Glücklicherweise handelt es sich dabei aber um die Landingpage eines Webinars zum Thema Cybersecurity Awareness oder einen entsprechenden Online-Kurs. Auch externe Dienstleister bieten solche Services. Gleichzeitig sollten die Verantwortlichen regelmäßige interne oder externe Trainings fördern, um in der Belegschaft den richtigen Riecher für Bedrohungen auszubilden. Anders als in allgemeinen Webinaren sollten diese Trainings allerdings gezielt auf die berufsbedingten speziellen Bedrohungen für die jeweiligen Mitarbeitenden ausgelegt sein.
Ein zweiter wesentlicher Punkt auf dem Weg, ein Kollegium von Cyber-Aktivisten auszubilden, ist die Speak-up-Kultur. Gemeint ist, ein Umfeld im Unternehmen zu schaffen, in dem die Mitarbeitenden nicht nur potenzielle Bedrohungen wie Social Engineering, Phishing oder ähnliche sicherheitsrelevante Vorfälle erkennen, sondern sie auch unverzüglich an das Cybersecurity-Personal kommunizieren. Nur auf diese Weise ist sichergestellt, dass die Sicherheitsmaßnahmen und -prozesse, die in entsprechenden Richtlinien, Roadbooks und Eskalationsmatrizen festgelegt wurden, ihr volles Potenzial entfalten und maximale Sicherheit garantieren.
Eine Speak-up-Kultur zu etablieren, funktioniert allerdings nicht auf Knopfdruck. Unternehmen und IT-Sicherheitsbeauftragte müssen zunächst einfache Meldewege etablieren – etwa durch die Einführung intuitiver und leicht verständlicher Ticketsysteme. Daraufhin ist es zunächst wichtig, dass sie Kolleginnen und Kollegen im Umgang mit diesen Tools schulen. Dazu gehört auch, die entsprechenden Softskills auf Empfänger- wie Senderseite zu etablieren, im Klartext: konstruktive Feedback-Schleifen zu schaffen. Und schließlich müssen CISOs und Co. die Mitarbeitenden sensibilisieren, auch die Voraussetzungen für diese Maßnahmen zu erfüllen. Das heißt zum Beispiel, Phishing-Mails nicht einfach zu löschen. Mit jedem positiven Case wird das Vertrauen in die Sicherheitsstruktur gestärkt und die Beteiligung steigt.
Mein persönlicher Ratschlag an Unternehmen ist, vor der betrieblichen Halloweenfeier schon einmal im Geiste des Cybersecurity Awareness Month mit der Verbesserung der Sicherheitskultur zu beginnen. Dann können schon am 31. Oktober die Mitarbeitenden, pünktlich zum schaurigsten Tag des Jahres, vielleicht schon die ersten Gruselgeschichten mit Happy End austauschen.
* Thierry Aubry ist Head of Sales DACH bei Ontinue.
Be the first to comment