Cybersicherheit: Sind Mitarbeitende das schwächste Glied?
Simon Schneiter
Simon Schneiter, M.A. HSG (Informations-, Medien- und Technologiemanagement), Head GRC & Information Security Consulting bei ensec AG.
Passende Arbeitshilfen
Vor 24 Jahren programmierte ein junger Philippiner ein Stück Computercode, welches weltberühmt werden sollte. Im Mai 2000 breitete sich das Loveletter Virus explosionsartig per E-Mail aus. Damals waren E-Mails mit schädlichen Anhängen noch weitgehend unbekannt, und so ist es verständlich, dass Millionen von Menschen in der Hoffnung auf eine nette Liebesbotschaft das Virus ausführten. Rund ein viertel Jahrhundert später sind die Menschen weitaus besser informiert über Themen wie Phishing, Computerviren und Hacker. Oder?
Schwächstes Glied
Leider wird immer noch sehr häufig etwas angeklickt, was sich schlussendlich als schädlich herausstellt. Unzählige Studien zeigen, dass der sogenannte «menschliche Fehler» immer noch die mit Abstand grösste Risikoquelle für Cybersicherheitsvorfälle ist. Das Sicherheitsunternehmen Tessian hat zusammen mit dem Stanford-Professor Jeff Hancock eine Studie namens «Psychology of Human Error 2022» durchgeführt, in welcher aufgezeigt wurde, dass ganze 88 Prozent der Datensicherheitsverletzungen auf Fehler der Mitarbeitenden zurückzuführen sind. Gemäss dem Global Risk Report des WEF aus dem Jahr 2022 sind es sogar 95 Prozent.
Investitionen in angemessene technische Sicherheitslösungen sind unerlässlich. Aber selbst die allerbesten technischen Massnahmen nützen wenig, wenn Mitarbeitende mit ihren Zugangsdaten falsch umgehen, auf Phishing-Mails hereinfallen oder Vorschriften zum Umgang mit sensiblen Daten nicht beachten.
Rechtliche Vorgaben
Unternehmen, die in regulierten Branchen tätig sind, sind oft mit Anforderungen konfrontiert, welche eine Schulung der Mitarbeitenden in den Bereichen Datenschutz und -sicherheit explizit oder implizit vorsehen. Und auch das neue Datenschutzgesetz macht implizit eine Mitarbeitereschulung notwendig – wie sonst sollen die organisatorischen Massnahmen zur Datensicherheit greifen?
Wirksame Schulungen
Einmal pro Jahr 45 Minuten Frontalunterricht oder ein webbasiertes Training? Dass das kaum wirksam ist, dürfte heute den meisten Entscheidungsträgern klar sein. Wer es dabei belässt, macht Mitarbeiterschulungen oft nur, um entsprechenden Vorgaben zu genügen und nicht um die Sicherheit des Unternehmens effektiv zu stärken.
Eine wirksame Schulung muss über die reine Wissensvermittlung hinaus gehen. Es gilt, das Bewusstsein für Cybersicherheit zu fördern und die Mitarbeitenden dazu zu bringen, in diesem Sinne zu denken und zu handeln. Um dies zu erreichen, sollten Schulungen die folgenden Hauptmerkmale aufweisen.
- Relevant und zielgerichtet: Die Schulungsinhalte sollten zielgruppengerecht, das heisst auf die spezifischen Rollen und Zuständigkeiten der Mitarbeitenden zugeschnitten sein und sich mit den Sicherheitsherausforderungen befassen, denen sie bei ihrer täglichen Arbeit begegnen. Es ist wichtig, die unterschiedlichen Kenntnisse der Mitarbeitenden zu berücksichtigen und Schulungen anzubieten, die für alle zugänglich und relevant sind.
- Ansprechend und interaktiv: Klassenzimmeratmosphäre ist nicht besonders förderlich für die Aufmerksamkeit. Interaktive und ansprechende Methoden wie Simulationen, Rollenspiele und Gamification sowie der geschickte Einsatz unterschiedlicher Medien können einen aktiven und intensiven Lernprozess begünstigen.
- Kontinuierliche statt einmalig: Es gibt gleich zwei gute Gründe, um Schulungen kontinuierlich und mehrmals jährlich stattfinden zu lassen. Erstens verblasst die Wirkung einer einmaligen Schulung meist relativ schnell und bloss durch mehrmaliges Wiederholen werden Wissen und Know-how im Gedächtnis effektiv verankert. Zweitens entwickelt sich die Bedrohungslandschaft ständig weiter und das Bewusstsein der Mitarbeitenden muss damit Schritt halten.
- Messbar und nachvollziehbar: Eine wirksame Schulung sollte sich positiv auf die Sicherheitslage des Unternehmens auswirken. Die Anzahl der absolvierten Schulungen des Personals zu messen, ist jedoch eine eher schlechte Kennzahl dafür. Aussagekräftiger sind Kennzahlen wie z. B. die Phishing-Anfälligkeit, die Anzahl der Sicherheitsvorfälle und der Sensibilisierungsgrad der Mitarbeitenden. Letzterer lässt sich mit entsprechenden Tests und/oder Umfragen erheben.
Passende Produkt-Empfehlungen
Praxistipp – «Öfter, aber weniger»: In der Praxis hat sich der Ansatz bewährt, Inhalte in kleinere Schulungssequenzen aufzugliedern und diese über das Jahr verteilt den Mitarbeitenden zu präsentieren. Idealerweise geschieht dies auf eine zielgerichtete, multimediale und interaktive Art.
Praxistipp – Phishing-Simulationen: Gemäss einer Studie von IBM beginnen 41% aller erfolgreichen Angriffe mit einem Phishing-Mail. Dementsprechend sind Phishing-Simulationen ein äusserst nützliches Tool, um das Bewusstsein der Mitarbeitenden für diese Gefahr zu schärfen, das gewünschte Verhalten zu schulen und nicht zuletzt, um die Effektivität der Schulungsmassnahmen messen zu können. Heutzutage sind solche Tests nicht mehr mit übermässig viel Aufwand verbunden. Es stehen etliche Tools und Services zur Verfügung, mit welchen sich auch grossangelegte und regelmässige Phishing-Kampagnen nahezu vollständig automatisieren lassen.
Wichtige Vorbildfunktion
Es mag abgedroschen klingen, dass Personen in Führungspositionen mit gutem Vorbild vorangehen sollen. Untersuchungen zeigen jedoch klar, dass es so ist. Führungskräfte beeinflussen das Verhalten und die Einstellung der Belegschaft. Sie tun dies mit dem, was sie sagen und wie sie es sagen – viel mehr jedoch noch mit ihrem Verhalten. Dementsprechend ist ihr Einfluss auf den Erfolg der Schulungsmassnahmen kaum zu unterschätzen. Und genau dies gilt es dem Management bewusst zu machen. Auf welche Art dies idealerweise geschieht, ist abhängig von der Unternehmenskultur und den jeweiligen Persönlichkeiten. Einige Organisationen setzen auf spezielle Management-Awareness-Schulungen, andere auf dedizierte Risiko-Workshops und wieder andere auf bilaterale Gespräche zwischen den für die IT-Sicherheit verantwortlichen Personen und der Unternehmensleitung.
Aufwand reduzieren
Cybersicherheitsschulungen sind wichtig. Demgegenüber stehen jedoch oft limitierte personelle Ressourcen und etliche andere ebenso wichtige Aufgaben. Hier kann es sich lohnen, in Tools und Services zu investieren, welche die Aufwände signifikant senken. Es gibt etliche Anbieter, welche Kombinationen von vorgefertigten webbasierten Trainings in Kombination mit (teil-)automatisierten Phishing-Simulationen anbieten. Einige davon liefern sogar passende Inhalte, mit welchen auch andere Kanäle bespielt werden können (Info-Mails, Printplakate, Games etc.). Und wenn finanzielle Ressourcen die grössere Herausforderung sind, so lassen sich mit ein wenig Recherche etliche Quellen mit frei verfügbaren Inhalten finden.
Fazit
Cyberattacken können jeden treffen. Die Eintrittswahrscheinlichkeit und das potenzielle Schadensausmass lassen sich aber durch gezielte Massnahmen senken. Eine besonders wichtige Massnahme ist die Schulung der Mitarbeitenden – zumal die allermeisten Cyberangriffe immer noch auf menschliches Versagen zurückzuführen sind. Dabei sollte auf zielgerichtete und relevante Schulungsinhalte gesetzt werden, welche ansprechend und attraktiv präsentiert werden. Das zu vermittelnde Wissen und Know-how sollte besser in kleineren Häppchen, dafür öfter serviert werden. Vorgesetzte müssen sich ihrer Vorbildfunktion bewusst sein und diese wahrnehmen. Und die Effektivität der Schulungen gilt es mit adäquaten Kennzahlen zu messen.
