Fürchten Sie auch, dass Ihre Firma einem Hackerangriff zum Opfer fallen könnte? Nicht selten sind Mitarbeiter die Schwachstelle, die zum Problem führt. Helfen kann, wenn Sie die Security-Awareness, also das Sicherheitsbewusstsein, stärken.
Das geht am besten und ist am effektivsten, wenn Sie dazu entsprechende Mitarbeiterschulungen anbieten. Infos zur „Schwachstelle Mensch“ bekommen Sie bei uns.
Unser Beitrag über Security-Awareness im Überblick:
Was heißt Security-Awareness?
Wenn von Security-Awareness oder auch Mitarbeiter-Awareness die Rede ist, dann ist damit die Sensibilisierung von Mitarbeitern in Sachen IT-Sicherheit, Datenschutz und Cybersecurity gemeint. Das erreicht man am einfachsten durch Schulungen, sogenannten IT-Sicherheitstrainings, die von einem IT-Sicherheitsbeauftragen durchgeführt werden.
Mit einem solchen IT-Sicherheitstraining sorgen Sie dafür, dass Ihre Mitarbeiter die erste Verteidigungslinie gegen Angriffe aus dem Internet sind. Ihre Mitarbeiter lernen, dass ein harmlos aussehender Link gefährlich sein kann und dass nicht alle Anweisungen, ohne sie zu hinterfragen, auszuführen sind. Ein Beispiel dafür ist der CEO-Betrug, bei dem sich die Angreifer als Chef ausgeben und um eine Überweisung bitten. Zudem erfahren die Mitarbeiter, warum Backups wichtig sind.
Die Schulungen zeigen, wie Ihre Mitarbeiter mit vertraulichen Daten umgehen und auf eventuelle Angriffe durch Cyberkriminelle reagieren. Anhand dieser Erkenntnis kann der Arbeitgeber weitere Maßnahmen zu Datenschutz und IT-Sicherheit ableiten. Ziel der Security-Awareness ist es, das Risiko für erfolgreich ausgeführte Cyberangriffe zu minimieren. Denn die bilden für Unternehmen immer noch die größte Gefahr, wie das BSI in seinem jüngsten Lagebericht festgestellt hat.
Sicherheitsschulungen können online oder vor Ort stattfinden – sind aber für die Security-Awareness der Mitarbeiter unerlässlich. Bild: Unsplash/Wes Hicks
Grundlagen der Security-Awareness
Doch wie erreichen Unternehmen eine hohe Security-Awareness? In erster Linie geht es darum, Mitarbeiter zu informieren und über mögliche Bedrohungen aufzuklären. Nur so können Sie Ihre Mitarbeiter für die Gefahren, die das Internet bietet, sensibilisieren. Erst, wenn Sie alle Angestellten über ein mögliches Fehlverhalten sowie Bedrohungen in Datenschutz und IT-Sicherheit umfangreich informiert haben und die Mitarbeiter auch dementsprechend handeln, weist ein Betrieb eine hohe Security-Awareness auf.
Grundlagen der Security-Awareness, also des Sicherheitsbewusstseins sind unter anderem die Datenschutzgrundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG). Damit ein Betrieb ein hohes Sicherheitsbewusstsein erfüllt, muss der Arbeitgeber dafür sorgen, dass alle Mitarbeiter die datenschutzrechtlichen Vorgaben am Arbeitsplatz einhalten.
Wichtig: Nicht nur Betriebe sind von der Security-Awareness betroffen. Auch Organisationen wie Vereine müssen sich darum kümmern, dass alle wissen, dass dort, wo mehrere Menschen miteinander agieren und sensible Daten in den Umlauf bringen, alle Beteiligten für den Schutz der Daten verantwortlich sind.
Sicherheitsbewusstsein schulen
Um das Sicherheitsbewusstsein Ihrer Mitarbeiter zu erhöhen, sollten Sie ihnen Schulungen in Sachen IT-Sicherheit anbieten, sogenannte Security-Awareness-Trainings. Solche Schulungen können verschiedene Themen beinhalten, typische Inhalte sind:
- grundlegende Informationen zur Informations- und Datensicherheit
- sicherer Umgang mit E-Mails
- Bedrohungspotenzial durch Schadsoftware
- physische Sicherheit am Arbeitsplatzrechner
- Umgang mit mobilen Datenspeichern
- Risiken und Gefahren bei der Verwendung von mobilen Geräten
- Gefahren durch soziale Netzwerke
- Gefährdungspotenzial durch Social Engineering
- Gefahr durch Phishing und Ablauf einer Phishing-Attacke
- sichere Passwörter
- verantwortungsvoller Umgang mit Passwörtern
- sichere Verwendung öffentlicher Internetzugänge und Hotspots
- die konkreten Passwort- und Sicherheitsrichtlinien im Unternehmen
- Verhalten bei sicherheitsrelevanten Ereignissen
- Informationspflichten bei erkannten Gefahren
Solche Schulungen können sowohl ganz klassisch in einem Schulungsraum und mit einem Dozierenden stattfinden oder auch vermehrt online. Gerade für Online-Trainings gibt es mehrere Anbieter wie Knowbe4, Hoxhunt oder GData. Und selbst die Dekra bietet IT-Sicherheitstrainings an.
Wissen Sie, welche Punkte auf Ihre Awareness-Checkliste gehören? Bild: Unsplash/Glenn Carstens-Peters
Checkliste für Security-Awareness
Wenn Sie sich noch für keine Schulung entschieden haben, um die Security-Awareness in Ihrem Betrieb zu erhöhen, dann helfen Ihnen zunächst auch unsere Tipps:
- Seien Sie vorsichtig bei der Nutzung Ihrer geschäftlichen Smartphones, Tablets und Notebooks in der Öffentlichkeit: Lassen Sie Ihre mobilen Geräte nie unbeaufsichtigt liegen, schützen Sie sich vor „Shoulder Surfing“ und greifen Sie auf Ihr Unternehmensnetzwerk nie über ein offenes WLAN zu.
- Überprüfen Sie die Identität unbekannter Personen: Seien Sie bei Anrufen von fremden Personen vorsichtig, bleiben Sie misstrauisch. Sehen Sie fremde Personen im Unternehmen, sprechen Sie sie an. Schließen Sie die Eingangstüren außerhalb der Öffnungszeiten ab und lassen Sie externe Personen nicht allein in den Geschäftsräumen zurück.
- Öffnen Sie niemals fremde Dateien, fremde Links und Anhänge: Leiten Sie niemals Ihre Zugangsdaten weiter, nutzen Sie keine fremden USB-Sticks und melden Sie verdächtige Fälle Ihrem IT-Beauftragten.
- Schützen Sie Ihre Daten vor Verlust, indem Sie Ihre Daten sichern und vor Diebstahl schützen. Fahren Sie dafür Ihren Computer nach Feierabend immer herunter.
- Verwenden Sie sichere Passwörter und für jeden Login ein anderes, das aus einer Kombination aus Zahlen, großen und kleinen Buchstaben sowie Sonderzeichen besteht.
Mit diesen Tipps tragen Sie schon viel zur Sicherheit in Ihrem Betrieb bei. Weitere Informationen bekommen Sie bei Ihrem PC-SPEZIALIST in Ihrer Nähe, der mit dem IT-Basisschutz dafür sorgt, dass Ihre Firmenrechner und Ihre sensiblen Daten nach den Vorgaben der DSGVO gut verwahrt werden.
_______________________________________________
Weiterführende Links: BSI, forum-verlag, Security-Insider
Schreiben Sie einen Kommentar