Bildet eure Mitarbeitenden zu Cyber-Aktivisten aus!

Der Cybersecurity Awareness Month ist ein guter Anlass, den Unternehmen nutzen sollten, aus ihren Mitarbeitenden waschechte Cyber-Aktivisten zu machen. Das lässt sich allerdings nicht mit einer Rundmail oder Selbstschulungsdokumenten erreichen. [...]

Thierry Aubry ist Head of Sales DACH bei Ontinue. (c) privat

Den Oktober verbinden die Menschen auch hierzulande vor allem mit dem aus den USA herübergeschwappten „Spooktober“, der am letzten Tag in Halloween kulminiert. Zum Gruseln sind dieser Tage aber nicht nur Horrorfilme, Geistergeschichten und das ein oder andere Kostüm, sondern auch die Bedrohungslage im Cyberspace. Aus diesem Grund – vielleicht auch gerade wegen der symbolischen Strahlkraft – zelebriert die Welt jedes Jahr im Oktober den Cybersecurity Awareness Month. Ein passender Anlass, den Unternehmen nutzen sollten, aus ihren Mitarbeitenden waschechte Cyber-Aktivisten zu machen. Das lässt sich allerdings nicht mit einer Rundmail oder Selbstschulungsdokumenten erreichen.

Wie also sollten Unternehmen und deren CISOs vorgehen, um ihre Mitarbeitenden für dieses heikle Thema zu sensibilisieren und ihnen die nötige Routine zu vermitteln? Zunächst einmal ist es wichtig, ihr Bewusstsein zu schärfen. Zu diesem Prozess gehört natürlich der regelmäßige Reminder, Passwörter möglichst kompliziert aufzusetzen, sie keinesfalls weiterzugeben und nicht auf dubiose Anhänge und ominöse Links in Mails zu klicken. Auch wenn das kleine Ein-Mal-Eins der Cybersecurity nicht ausreicht, um Cyber-Aktivisten auszubilden, gehört es doch zu den dringend nötigen Basics, frei nach dem Motto „Steter Tropfen höhlt den Stein“.

Ein zweiter Schritt sollte sein, sich ab und zu den „Spooktober“ wieder ins Gedächtnis zu rufen und die Mitarbeitenden einer kleinen Schocktherapie zu unterziehen: In vielen Unternehmen senden die Sicherheitsbeauftragten vermeintliche Phishing-Mails an ihre Kolleginnen und Kollegen, die sie bei Anklicken des Links auf eine Webseite weiterleiten, auf der in roter Signalfarbe „Sie wurden gehackt“ oder etwas Ähnliches steht, statt den erwarteten Inhalt zu präsentieren. Glücklicherweise handelt es sich dabei aber um die Landingpage eines Webinars zum Thema Cybersecurity Awareness oder einen entsprechenden Online-Kurs. Auch externe Dienstleister bieten solche Services. Gleichzeitig sollten die Verantwortlichen regelmäßige interne oder externe Trainings fördern, um in der Belegschaft den richtigen Riecher für Bedrohungen auszubilden. Anders als in allgemeinen Webinaren sollten diese Trainings allerdings gezielt auf die berufsbedingten speziellen Bedrohungen für die jeweiligen Mitarbeitenden ausgelegt sein.

Ein zweiter wesentlicher Punkt auf dem Weg, ein Kollegium von Cyber-Aktivisten auszubilden, ist die Speak-up-Kultur. Gemeint ist, ein Umfeld im Unternehmen zu schaffen, in dem die Mitarbeitenden nicht nur potenzielle Bedrohungen wie Social Engineering, Phishing oder ähnliche sicherheitsrelevante Vorfälle erkennen, sondern sie auch unverzüglich an das Cybersecurity-Personal kommunizieren. Nur auf diese Weise ist sichergestellt, dass die Sicherheitsmaßnahmen und -prozesse, die in entsprechenden Richtlinien, Roadbooks und Eskalationsmatrizen festgelegt wurden, ihr volles Potenzial entfalten und maximale Sicherheit garantieren.

Eine Speak-up-Kultur zu etablieren, funktioniert allerdings nicht auf Knopfdruck. Unternehmen und IT-Sicherheitsbeauftragte müssen zunächst einfache Meldewege etablieren – etwa durch die Einführung intuitiver und leicht verständlicher Ticketsysteme. Daraufhin ist es zunächst wichtig, dass sie Kolleginnen und Kollegen im Umgang mit diesen Tools schulen. Dazu gehört auch, die entsprechenden Softskills auf Empfänger- wie Senderseite zu etablieren, im Klartext: konstruktive Feedback-Schleifen zu schaffen. Und schließlich müssen CISOs und Co. die Mitarbeitenden sensibilisieren, auch die Voraussetzungen für diese Maßnahmen zu erfüllen. Das heißt zum Beispiel, Phishing-Mails nicht einfach zu löschen. Mit jedem positiven Case wird das Vertrauen in die Sicherheitsstruktur gestärkt und die Beteiligung steigt.

Mein persönlicher Ratschlag an Unternehmen ist, vor der betrieblichen Halloweenfeier schon einmal im Geiste des Cybersecurity Awareness Month mit der Verbesserung der Sicherheitskultur zu beginnen. Dann können schon am 31. Oktober die Mitarbeitenden, pünktlich zum schaurigsten Tag des Jahres, vielleicht schon die ersten Gruselgeschichten mit Happy End austauschen.

​* Thierry Aubry ist Head of Sales DACH bei Ontinue.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*