Mit der Entmaterialisierung von Prozessen ist die Einführung guter Cybersicherheitspraktiken unerlässlich.
Laut der Studie 2021 Betrug und Cyberkriminalität Barometer haben 2 von 3 Unternehmen im letzten Jahr mindestens einen Betrugsversuch erlebt, und 1 von 5 Unternehmen hatte mehr als 5 Angriffe zu verzeichnen. Außerdem hat jedes zweite Unternehmen einen Anstieg dieser Angriffe infolge der allgemeinen Verbreitung von Telearbeit festgestellt. Vor dem Hintergrund der Entmaterialisierung von Prozessen und Dokumenten, der Zunahme des Datenvolumens und der Umwälzungen in der Arbeitsorganisation ist die Anwendung guter Cybersicherheitspraktiken unerlässlich.
Nicht nur die Unternehmensleitung kann Maßnahmen ergreifen, sondern auch die Mitarbeiter müssen bei der Prävention von Sicherheitsrisiken eine Rolle spielen. Was sind also die besten Praktiken, die man anwenden kann? Damit befassen wir uns in unserem Artikel.
Cybersicherheit: Warum ist es wichtig, die Mitarbeiter einzubeziehen?
Die Antizipation von Risiken und der Einsatz der richtigen Instrumente ist die erste Verteidigungslinie im Bereich der Cybersicherheit. Dabei wird jedoch oft vergessen, welch wichtige Rolle jeder einzelne Mitarbeiter beim Schutz des Unternehmens vor den Risiken von Cyberangriffen spielt. Es stimmt, dass 90 % der erfolgreichen Cyberangriffe auf menschliches Versagen zurückzuführen sind und dass Arbeitsplätze die Hauptquelle für Sicherheitsverstöße sind. Eine Cybersicherheitspolitik, die die Mitarbeiter mit einbezieht, ermöglicht es jedoch, diese Fehler zu bekämpfen, Risiken zu vermeiden und das Arsenal des Unternehmens zum Schutz vor Hackern zu stärken. Daher sind Mitarbeiter, die ausreichend über die IT-Sicherheitsrisiken informiert sind, das wichtigste Bollwerk gegen Cyberangriffe. Um sicherzustellen, dass die Mitarbeiter die Bedeutung der Cybersicherheit verstehen, insbesondere in Anbetracht der Risiken, die ein Angriff für das Unternehmen mit sich bringen würde (finanzielle Risiken, Reputationsrisiken, materielle Risiken usw.), ist es unerlässlich, Sicherheit und Datenschutz in die Unternehmenskultur zu integrieren. Das Cyber-Risiko muss also ein integraler Bestandteil der Risikokultur des Unternehmens sein, und alle Mitarbeiter müssen die Problematik verstehen. Die umfassende Einbeziehung der Mitarbeiter ist in der Tat ein wirksames Mittel zur Sensibilisierung.
Es geht aber nicht darum, sich nur auf die Theorie zu verlassen, etwa durch die Einführung einer unverbindlichen IT-Charta. Die von den Mitarbeitern getragene Cybersicherheitspolitik muss in der Realität verankert sein und sich auf konkrete Beispiele stützen, damit die Realität der Gefahren, denen das Unternehmen ausgesetzt ist, besser verstanden wird. Um dies zu erreichen, kann eine ganze Reihe von bewährten Verfahren eingesetzt werden.
Gute Praxis 1: Sicherung der Arbeitsumgebung
Die Datensicherheit muss im Mittelpunkt der Cybersicherheitspolitik des Unternehmens stehen. Zu diesem Zweck muss die Abteilung für die Sicherheit von Informationssystemen (ISSD) der Verwendung von Werkzeugen und Geräten Vorrang einräumen, die aus dem Unternehmen stammen und zuvor gesichert wurden. In diesem Zusammenhang ist es wichtig, die Mitarbeiter daran zu erinnern, dass die Verwendung von Tools, Software oder Lösungen, die nicht aus dem Unternehmen stammen (oder nicht von ihm validiert wurden), aufgrund der damit verbundenen Risiken zu vermeiden ist.
Ein VPN(Virtual Private Network) kann eingerichtet werden, um alle Unternehmensdaten zu sichern, auch wenn die Mitarbeiter aus der Ferne arbeiten. Zur Anpassung an die neuen Möglichkeiten der hybriden Arbeit könnte die Zentralisierung der Daten in einer privaten Cloud ins Auge gefasst werden. Dieses Instrument wird es allen Mitarbeitern ermöglichen, jederzeit auf ihre Daten und Dokumente zuzugreifen, unabhängig davon, wo sie sich befinden.
Schließlich kann die ISSD auch ein Risikomanagementverfahren einrichten, um Sicherheitsprobleme zu melden, auf die Mitarbeiter gestoßen sind. Dies kann über eine spezielle E-Mail-Adresse geschehen, die allen Mitarbeitern bekannt gemacht wird, oder über eine interne Chat-Gruppe.
Gute Praxis 2: Sensibilisierung und Schulung der Mitarbeiter
Da die Mitarbeiter in der Regel als erste Zielscheibe von Cyberangriffen werden, ist es wichtig, sie für die Risiken und Herausforderungen der IT-Sicherheit zu sensibilisieren. Dazu können Sie ihnen zunächst die vielfältigen Folgen eines Cyberangriffs erläutern: Betriebsunterbrechung, Rufschädigung, Verlust des Kundenvertrauens, finanzielle Verluste usw. All diese Folgen würden sich direkt auf die Tätigkeit der Mitarbeiter auswirken!
Zur Sensibilisierung können verschiedene Wege beschritten werden. Neben der Ausarbeitung einer IT-Charta, die als Referenz dienen und allen Mitarbeitern (einschließlich der leitenden Angestellten) zur Kenntnis gebracht werden sollte, kann die Einführung obligatorischer Schulungen ein wirksames Mittel zur Sensibilisierung der Mitarbeiter sein.
👉 Ziel: Sensibilisierung für die Risiken, denen das Unternehmen in Bezug auf die IT-Sicherheit ausgesetzt ist, und Hervorhebung der guten Reflexe, die im Alltag anzuwenden sind.
Schließlich können praktische Übungen durchgeführt werden, um Fragen der Cybersicherheit zu einem Thema zu machen, das in der Realität verwurzelt ist. So kann die ISSD beispielsweise eine gefälschte Phishing-Kampagne organisieren, um den Mitarbeitern zu zeigen, wie sie gefälschte E-Mail-Adressen erkennen und sich vor den Risiken schützen können, die Phishing für das Unternehmen mit sich bringt: Datenverlust oder -leck, Identitätsdiebstahl, finanzielle Verluste usw.
Bewährte Praxis 3: Organisation von Simulationen von Cyberangriffen
Theoretische Schulungen zur Cybersicherheit bieten eine solide Grundlage, reichen aber nicht aus. Um die Mitarbeiter in vollem Umfang einzubeziehen und sie für die IT-Risiken zu sensibilisieren, kann es interessant sein, Simulationen von Cyberangriffen (oder Penetrationstests) zu organisieren, bei denen das Unternehmen mit den Folgen eines falschen Angriffs konfrontiert wird. Durch diese Art des Eintauchens in die Materie können die Mitarbeiter nicht nur praktisch verstehen, wie wichtig es ist, sich gegen Cyberrisiken zu schützen, sondern auch lernen, wie sie im Falle eines echten Angriffs reagieren können.
Bewährte Praxis 4: Umsetzung einer Strategie zur Bekämpfung von Schatten-IT
Wussten Sie, dass 68 % der Malware aus der Cloud und der Schatten-IT stammt?
Schatten-IT ist ein weit verbreitetes Phänomen, das sich auf eine Reihe von IT-Nutzungen bezieht, die nicht geregelt sind und nicht vom Unternehmen kontrolliert werden. Dabei kann es sich z. B. um einen Mitarbeiter handeln, der auf seinem Arbeitsplatz Software verwendet, die nicht von der ISSD genehmigt wurde. Multipliziert man diese Praxis mit allen Mitarbeitern des Unternehmens, kann sie sich schnell als gefährlich erweisen.
Daher ist es wichtig, Maßnahmen gegen die Schatten-IT zu ergreifen, insbesondere durch eine verstärkte Schulung und Sensibilisierung der Mitarbeiter in Bezug auf die IT-Nutzung, aber auch durch die Festlegung von Governance-Regeln und die regelmäßige Erinnerung daran, wie wichtig es ist, nur Lösungen zu verwenden, die von der Verwaltung der Informationssysteme validiert wurden. Das Wichtigste ist, das Problem nicht zu ignorieren, sondern es in die Politik zur Bekämpfung von IT-Risiken einzubeziehen.
Zu beachtende Dinge
📌 Es gibt mehrere Möglichkeiten, einen Cyberangriff zu bekämpfen.
📌 Die Schulung der Mitarbeiter ist eine der Möglichkeiten, einen potenziellen Cyberangriff zu bekämpfen.
📌 Durch die Anwendung bewährter Praktiken lässt sich das Risiko, Opfer eines Computerangriffs zu werden, verringern.
