Quelle: Depositphotos
ADVERTORIAL
Sicherheitsrisiken reduzieren
Das grösste Cybersicherheitsrisiko für KMU – die mangelnde Expertise der Mitarbeiter – lässt sich gut eindämmen: Mit Security Awareness Trainings.
11. März 2025
Angesichts der schwerwiegenden finanziellen, rechtlichen und reputationsbezogenen Folgen, die ein erfolgreicher IT-Angriff und ein daraus resultierender Datenverlust mit sich bringen kann, sollte jedes Unternehmen die aktuelle Cyberbedrohungslandschaft genau kennen und wissen, wie es sich vor den entsprechenden Bedrohungen schützen kann. Bei der Betrachtung der Risikofaktoren für einen Angriff zeigt sich insbesondere bei kleinen und mittleren Unternehmen (KMU) schnell: Die eigenen Mitarbeiter und deren mangelnde Expertise in Sachen Cybersicherheit stellen eine der grössten Herausforderungen dar.
So ergab beispielsweise eine von Sharp durchgeführte Umfrage unter insgesamt 5.770 IT-Entscheidern in ganz Europa, dass fehlende oder unzureichende Mitarbeiterschulungen für fast vier von zehn (37 Prozent) der befragten KMU das grösste Risiko im Bereich IT-Sicherheit darstellen. Damit liegen diese sogar noch vor grossangelegten Cyber-Angriffen (33 Prozent) oder unzureichenden technischen Schutzmassnahmen (30 Prozent). Eine aktuelle Studie der „Stanford University and Tessian“ zeigt zudem, dass menschliches Versagen seitens der Mitarbeiter die Ursache für ganze 88 Prozent aller Datenschutzverletzungen in Unternehmen sind.
So ergab beispielsweise eine von Sharp durchgeführte Umfrage unter insgesamt 5.770 IT-Entscheidern in ganz Europa, dass fehlende oder unzureichende Mitarbeiterschulungen für fast vier von zehn (37 Prozent) der befragten KMU das grösste Risiko im Bereich IT-Sicherheit darstellen. Damit liegen diese sogar noch vor grossangelegten Cyber-Angriffen (33 Prozent) oder unzureichenden technischen Schutzmassnahmen (30 Prozent). Eine aktuelle Studie der „Stanford University and Tessian“ zeigt zudem, dass menschliches Versagen seitens der Mitarbeiter die Ursache für ganze 88 Prozent aller Datenschutzverletzungen in Unternehmen sind.
Cybersicherheitsrisiko Nummer 1: Mangelnde Sicherheitsexpertise
Insbesondere für die IT- und IT-Sicherheitsteams in Unternehmen dürften diese Zahlen Grund zur Sorge darstellen, denn der demografische Wandel und der daraus resultierende Fachkräftemangel sorgen bereits jetzt für eine zunehmende Überlastung dieser Teams. Gerade in KMU arbeiten die IT-Experten – sofern überhaupt vorhanden – oftmals nahe ihrer Kapazitätsgrenzen. Dies bedeutet, dass die Verteidigung gegen Cyberbedrohungen schon früher und auf anderer Ebene beginnen muss.Oder anders ausgedrückt: Im Geschäftsalltag wird es zur Aufgabe jedes einzelnen Mitarbeiters, Cybersicherheitsrisiken so weit wie möglich zu reduzieren. Angesichts einer immer komplexeren Bedrohungslandschaft erfordert dies jedoch entsprechende Expertise, über die oftmals nur wenige Mitarbeiter verfügen – die wenigsten Unternehmen bestehen komplett aus IT-Experten. Und im hektischen Alltag sind es oft genau diese Mitarbeiter, die von Phishing-E-Mails getäuscht werden oder unbedacht auf schädliche Links oder Anhänge klicken. Viele Angreifer sind sich dessen bewusst und wählen deshalb solche Mitarbeiter explizit als Ziel ihrer Angriffe aus.
Konkret bedeutet dies, dass eine effektive Cybersicherheitsstrategie für KMU nicht nur darin bestehen kann, immer mehr und immer komplexere technische Schutzmassnahmen einzuführen. Vielmehr sollten sie auch darauf setzen, den Cybersicherheitsrisikofaktor Mensch so weit wie möglich einzudämmen. Da es, wie bereits erwähnt, oftmals lediglich an Wissen bezüglich Cyberbedrohungen, einer angemessenen Reaktion auf diese sowie sicherer Technologienutzung im Allgemeinen mangelt, ist dies glücklicherweise bereits mit einigen wenigen Schritten erreichbar.
Trainings sind die beste Verteidigung
Der wichtigste dieser Schritte ist die Einführung sogenannter Security Awareness Trainings, die sich an sämtliche, nicht im IT-Bereich tätigen Mitarbeiter im Unternehmen richten und diese dabei unterstützen, Cyberbedrohungen besser zu erkennen und kompetent auf sie zu reagieren. Dabei sollte es sich um kurze, leicht verständlich und benutzerfreundlich gestaltete, digitale Trainingseinheiten handeln, die sich einfacher in den hektischen Arbeitsalltag vieler Unternehmen integrieren lassen als klassische Weiterbildungen vor Ort.Idealerweise bestehen die einzelnen Trainingseinheiten sowohl aus theoretischen als auch praxisbezogenen Modulen, letztere insbesondere in Form von simulierten Angriffen. Der Fokus der Simulationsübungen sollte dabei auf Phishing und Social Engineering liegen, da es sich dabei um die Angriffsmethoden handelt, mit denen Mitarbeiter in ihrem Arbeitsalltag am häufigsten konfrontiert werden. Zudem sorgen diese Übungen dafür, dass sich die Angestellten an die entsprechenden Situationen gewöhnen und sich beispielsweise weniger unter Druck setzen lassen, wenn sich Angreifer als Autoritätspersonen ausgeben.
Es empfiehlt sich, dass die Trainingseinheiten regelmässig und fortlaufend stattfinden. Dies hat zwei Gründe: Zum einen entwickeln Cyberkriminelle ihre Angriffsmuster und -technologien kontinuierlich weiter, weshalb auch die Mitarbeiter in KMU über diese Entwicklungen informiert werden müssen, um bestmöglich auf sie vorbereitet zu sein. Zum anderen soll auf diese Weise nach und nach im ganzen Unternehmen ein Bewusstsein dafür geschaffen werden, dass Cybersicherheit die Verantwortung jedes Einzelnen ist, nicht nur die der IT- und IT-Sicherheitsexperten. Es geht also um die Etablierung einer sicherheitsfokussierten Unternehmenskultur auf allen Ebenen. Damit die Organisation und Durchführung dieser Trainings nicht zusätzlich bei den ohnehin bereits ausgelasteten IT-Abteilungen liegt, lohnt es sich oftmals, dafür einen externen Partner an Bord zu holen.
Weitere Infos unter: www.sharp.ch
