Wie das Sicherheitsbewusstsein der Mitarbeiter gestärkt werden kann

There is no glory in prevention – die durch den Virologen Christian Drosten bekannt gewordene Aussage, dass mit Prävention kein Ruhm zu gewinnen ist, trifft in gleicher Weise auch auf die Informationssicherheit zu. Für Mitarbeiter in Unternehmen sind Maßnahmen zur Informationssicherheit bestenfalls unsichtbar, manchmal aber auch lästig und werden deshalb häufig auf die leichte Schulter genommen. Komplexe Passwörter, zusätzliche Schritte bei den verschiedensten Anmeldungen und andere notwendige Maßnahmen sind bei der täglichen Arbeit nicht unbedingt beliebt.

Aber nicht nur, dass für Mitarbeiter Informationssicherheit mitunter ein Störfaktor sein kann. Für Unternehmen bedeutet Informationssicherheit auch eine finanzielle Belastung. Fachpersonal und IT-Services, die den Schutz von Daten gewährleisten, haben ihren Preis, dessen Wertbeitrag oft nicht erkannt wird.

Um Daten im Unternehmen wirksam zu schützen, sind jedoch Wissen und Verständnis sowie Verhalten und Normierung, also die sogenannte Security Awareness, von großer Bedeutung. Dies gilt für alle Ebenen eines Unternehmens von den Fachkräften bis hin zur Chefetage.

Denn technische Maßnahmen allein können die erforderliche Sicherheit nicht gewährleisten. Nur wenn alle Mitarbeiter ein gutes Verständnis für die Bedeutung der Informationssicherheit haben und mögliche Risiken und Angriffsvektoren kennen, kann ein angemessenes Sicherheitsniveau erreicht werden. Daher setzen sich etwa 60 bis 70 Prozent der Unternehmen dafür ein, ihre Mitarbeiter beim Thema IT-Sicherheit zu sensibilisieren.

Cyber-Kriminelle nutzen bei ihren Betrugsversuchen oft die Schwachstelle Mensch. Davor können auch die beste Firewall und die sicherste IT-Infrastruktur nicht schützen. Ein Beispiel ist der als CEO-Fraud bekannte Social-Engineering-Angriff: Angreifer veranlassen hierbei Mitarbeiter eines Unternehmens unter Vorgabe einer falschen Identität dazu, illegitime Finanztransaktionen zu tätigen. Allein durch diese Betrugsmasche entstehen der Wirtschaft jährlich Schäden in Milliardenhöhe. Diese und weitere perfide Taktiken von Kriminellen sind oft nicht auf den ersten Blick als Betrugsversuche erkennbar und werden somit oft unterschätzt.

Es ist essenziell, dass sich alle im Unternehmen der Risiken im Umgang mit sensiblen Informationen bewusst sind – sowohl aus betriebswirtschaftlicher als auch rechtlicher Sicht, nicht zuletzt auch im Hinblick auf mitunter erhebliche Schäden für die Reputation und Geschäftsgrundlage eines Unternehmens. Daher sind verpflichtende regelmäßige Awareness-Schulungen und zusätzliche Angebote rund um IT- und Informationssicherheit empfehlenswert. Diese können Unternehmen einerseits selbstständig in Abstimmung mit internen Experten und unter Zuhilfenahme von Awareness-Tools durchführen. Darüber hinaus gibt es zahlreiche marktverfügbare Angebote als Webinare, interaktive Selbstlernkurse und mehr. Ziel solcher Maßnahmen ist, das Sicherheitsbewusstsein in den Köpfen aller Mitarbeiter im Unternehmen zu verankern, die im Unternehmen etablierten Maßnahmen und Prozesse transparent zu machen und einen sensiblen Umgang mit Informationen kontinuierlich zu fördern – sowohl auf technischer als auch auf organisatorischer Ebene.