Wieso fällt es uns Menschen beim Thema IT-Sicherheit schwer, bewusst auf Risiken zu achten und entsprechend zu reagieren?
Eigentlich ist das Sicherheitsbewusstsein Teil der menschlichen DNA. Viele Dinge tun wir täglich, um uns und andere zu schützen. Darunter fällt beispielsweise Händewaschen oder der Schulterblick beim Autofahren. Im Arbeitsalltag ist dieses Bewusstsein insbesondere bei der IT-Sicherheit allerdings noch ausbaufähig, denn oftmals ist der Mensch das schwächste Glied in der IT-Abwehr. Angreifer nutzen das menschliche Verhalten konsequent aus, indem sie gezielt etwa Phishing-Mails an ihre Opfer senden und in der Nachricht an Hilfsbereitschaft, Neugier oder Gier des Empfängers anknüpfen. Typische Angriffsziele in Unternehmen sind Personalabteilungen oder der Einkauf. Mitarbeiter erhalten immer wieder Bewerbungsschreiben oder Rechnungen mit infizierten Dateianhängen, die Angreifer als Einfallstor ins Firmennetzwerk nutzen.
Was sollten Unternehmen machen, damit Mitarbeiter aufmerksamer werden und beispielsweise Social-Engineering-Attacken verhindern?
In letzter Zeit hat sich bei IT-Verantwortlichen und Entscheidern die Erkenntnis durchgesetzt, die menschliche Achtsamkeit zu verbessern. Mit Security Awareness Trainings lassen sich viele Wissenslücken der Mitarbeiter schließen. So reagieren sie künftig umsichtiger bei potentiellen Phishing-Mails und anderen Bedrohungen und werden somit zu einem integralen Teil der IT-Sicherheit.
Mitarbeiter müssen beim leisesten Verdacht wissen, was zu tun ist und besser einmal zu viel den Chief Information Security Officer oder einen verantwortlichen Mitarbeiter ansprechen als einmal zu wenig.
Eine aktuelle Zwischenfrage: Ist das Risiko angesichts des vermehrten Homeoffice für Unternehmen zurzeit eigentlich gestiegen? Worauf müssen die Firmen jetzt achten?
Ja, das Risiko hat zugenommen. Gerade am Anfang der Coronakrise musste alles ganz schnell gehen. Unter dem hohen Tempo hat an vielen Stellen die IT-Sicherheit gelitten. So haben beispielsweise einige Unternehmen ihren Mitarbeitern zugestanden, private Rechner für die Arbeit zu nutzen. Das ist natürlich sehr problematisch. Wenn nicht ausreichend mobile Rechner vorhanden sind, ist es sinnvoller, Mitarbeitern den stationären Arbeitsplatzrechner mit nach Hause geben. Wer in den eigenen vier Wänden arbeitet, sollte immer daran denken, dass der Dienstcomputer mit dem Firmennetz verbunden ist. Im Homeoffice gelten die gleichen Regeln, wie bei der Arbeit im Büro: Keine unbekannten Wechselmedien anschließen, keine verdächtigen Links anklicken, Rechner beim Verlassen sperren und vorsichtig beim Öffnen von Mailanhängen sein.
In Zusammenarbeit mit G DATA CyberDefense bieten Sie Ihren Kunden jetzt Online-Security Awareness Trainings an. Wie sind diese Schulungen inhaltlich aufgebaut?
Die Security Awareness Trainings bieten einen ganzheitlichen Ansatz. Denn Schulungen oder Videos, die Angestellte über die drei größten Gefahren für Cyberattacken – Mails mit infizierten Datei-Anhängen, USB-Sticks mit Schadsoftware oder bösartige Downloads – informieren greifen zu kurz. Außerdem ist keinesfalls nachhaltig. Es müssen sehr viele Themen behandelt werden, denn im Zuge der Digitalisierung haben sich unsere Arbeitsweisen grundlegend gewandelt. Und mit ihnen auch die möglichen Angriffsvektoren. Wer unterwegs etwa in der Bahn oder im Homeoffice arbeitet, muss wissen, wie er seine Passwörter und Informationen sowie Dokumente n absichert. Auch rechtliche Bestimmungen zum Datenschutz und zur Datensicherheit, die sich aus der EU-DSGVO oder branchenspezifischen Vorgaben ergeben, müssen Angestellte nicht nur kennen, sondern auch anwenden. Uns ist bewusst, dasse bloße Existenz eines IT-Notfallplans keinen Cyberangriff verhindert. Mitarbeiter müssen beim leisesten Verdacht wissen, was zu tun ist und besser einmal zu viel den Chief Information Security Officer oder einen verantwortlichen Mitarbeiter ansprechen als einmal zu wenig.
Was ist denn der Vorteil von E-Learnings?
Natürlich gibt es auch Gründe, die dafür sprechen solche unternehmenskritischen Inhalte von IT-Sicherheitsschulungen in Vor-Ort-Schulungen mit Anwesenheitspflicht zu präsentieren. Allerdings sprechen mindestens genauso viele Argumente dagegen: Ab einer bestimmten Unternehmensgröße lassen sich verpflichtende Präsenzschulungen kaum noch realisieren. Mitarbeiter sind krank, im Urlaub oder dienstlich unterwegs. Die Terminfindung gerät so zum unmöglichen Unterfangen.
Hinzu kommt: Wer das Thema grundlegend angeht und nachhaltig bei seinen Mitarbeitern verankern will, muss einerseits deutlich mehr Zeit als ein ein- oder zweitägiges Seminar einplanen und andererseits dafür Sorge tragen, Lerninhalte etwa zu aktuellen Sicherheitsvorfällen kurzfristig für alle Angestellten bereit zu stellen. Denn Informationen zu neuen Angriffsmethoden, wie beispielsweise als Bewerbungsunterlagen getarnte Trojaner, müssen schnellstmöglich die relevanten Mitarbeiter erreichen. E-Learnings müssen keine Rücksicht auf diese Rahmenbedingungen nehmen. Gerade Unternehmen mit mehreren Standorten profitieren hiervon.
Wie lange dauert so ein Training, wie oft müssen diese wiederholt werden?
Die Security Awareness Trainings decken das gesamte Themenspektrum der IT-Sicherheit ab. Die mehr als 35 Kursen vermitteln das notwendige Wissen und bedienen sich dabei neuester Lernmethoden. Am Anfang steht ein Einstiegstest, um das Know-how der Mitarbeiter zu prüfen. Bei aktuellen Gefährdungslagen oder Sicherheitsvorfällen stellen wir in kürzester Zeit die notwendigen Informationen bereit, sodass sich Mitarbeiter entsprechend auf solche Angriffsversuche vorbereiten können.
Nach jeder Frage informiert das System die Lerner, ob die Antwort richtig oder falsch war. Aber anstelle eines erhobenen Zeigefingers à la „Das war falsch!“ erhalten sie eine genaue Information, was sie hätten besser machen können. Dieses positive Feedback stellt den bestmöglichen Lernerfolg sicher. Für eine zusätzliche Motivation sorgen Zertifikate: Mitarbeiter können sich nach bestandenen Themenblöcken eine Urkunde über die erfolgreiche Teilnahme ausdrucken. Darüber hinaus sorgen kurze Wiederholungen dafür, dass das neu erlangte Wissen auch langfristig im Gedächtnis bleibt und so zu einem gesteigertem Sicherheitsbewusstsein führt.
Bereits in der Evaluierungsphase zeichnete sich ab, dass G DATA unsere vielfältigen Anforderungen erfüllt. Da war die Entscheidung am Ende nur noch Formsache.
Warum haben Sie sich für die Zusammenarbeit mit G DATA CyberDefense entschieden?
Zu Beginn haben wir einen umfassenden Anforderungskatalog erstellt und daraufhin geschaut, welche Lösungen zurzeit auf dem Markt sind. Für uns hatte die Mandantenfähigkeit der Lösung eine hohe Priorität, um den Vorgaben an Datenschutz und -sicherheit gerecht zu werden. Außerdem sollte das Kursangebot mehrsprachig sein, denn ein Großteil der Kunden vom TÜV Hessen ist international aufgestellt und betreibt in vielen Ländern eigene Niederlassungen. Darüber hinaus wollten wir eine skalierbare Plattform, um für alle Teilnehmer zu jeder Zeit einen stabilen Zugang zum System sicherzustellen. Außerdem sollte das Lernsystem auch schnell und einfach um neue Inhalte erweiterbar sein. Die Möglichkeit, unsere eigenen Themen aus dem Bereich Safety, wie etwa Brand- und Arbeitsschutz, zu integrieren, war daher eine Pflicht. Bereits in der Evaluierungsphase zeichnete sich ab, dass das Bochumer Cyber-Defense-Unternehmen unsere vielfältigen Anforderungen erfüllt. Da war die Entscheidung am Ende nur noch Formsache.
Wie sieht es mit Ihren eigenen Mitarbeitern von TÜV Hessen aus, schulen Sie diese auch?
Unsere Mitarbeiter nutzen die Plattform ebenfalls, um ihr eigenes IT-Sicherheitsverständnis zu verbessern können. Dabei profitieren wir natürlich auch von dem E-Learning-Angebot. Denn Präsenzschulungen für rund 1.400 Angestellte in ganz Deutschland zu organisieren, ist extrem aufwendig.