Schulungen zum Sicherheitsbewusstsein in der neuen Normalität

Hacker erkennen eine Gelegenheit, wenn sie sie sehen, und die abrupte Verlagerung der Arbeit von zu Hause aus aufgrund der weltweiten COVID-19-Pandemie war eine Gelegenheit wie keine andere. Für viele Unternehmen verlagerte sich der Austausch sensibler Geschäftsinformationen vom Konferenzraum im Büro auf den Zoom zu Hause und vom sicheren Unternehmensnetzwerk auf das heimische Wi-Fi. Hinzu kam eine Benutzergemeinschaft, die verwirrt, überfordert und schlecht darauf vorbereitet war, ihr Privatleben und ihre IT-Systeme zu Hause inmitten einer globalen Pandemie zu managen, und das war für böswillige Akteure wie ein Schuss ins Blaue.

Kontinuierliche Sicherheitsvorkehrungen sind von entscheidender Bedeutung. Dennoch mussten fast acht von zehn Unternehmen im Jahr 2020 ihr Geschäft unterbrechen, einen finanziellen Verlust hinnehmen oder erlitten einen anderen Rückschlag aufgrund mangelnder Cybervorkehrungen, so der Bericht von Mimecast State of Email Security 2021 (SOES). Besonders besorgniserregend war die E-Mail-Sicherheit: Mehr als 40 % der Unternehmen sind in einem oder mehreren kritischen Bereichen unzureichend vorbereitet, und 13 % der Unternehmen verfügen laut den SOES-Befragten überhaupt nicht über ein E-Mail-Sicherheitssystem.

Mit steigendem E-Mail-Volumen steigt auch das E-Mail-Risiko

E-Mail war im vergangenen Jahr ein besonders gefährliches Medium für Unternehmen aller Größenordnungen. Einundachtzig Prozent der Befragten der SOES-Umfrage gaben an, dass das E-Mail-Volumen im letzten Jahr zugenommen hat, wobei allein die E-Mail-Bedrohungen um 64 % gestiegen sind. Siebzig Prozent der Befragten gaben an, dass sie erwarten, dass ihr Unternehmen durch einen E-Mail-Angriff geschädigt wird - eine Zahl, die nicht überrascht, wenn man weiß, dass die Mitarbeiter dreimal so viele bösartige E-Mails anklicken wie vor dem Ausbruch der Pandemie.

Was die Mitarbeiter anklicken, ist immer wahrscheinlicher ein Phishing-Versuch: 63 % der SOES-Befragten gaben an, dass sie mit einer Zunahme gezielter E-Mails konfrontiert sind, die Mitarbeiter dazu verleiten sollen, auf einen bösartigen Link oder Anhang zu klicken.

Laut Deloitte sind Phishing-E-Mails die Nummer eins bei der Verbreitung von Ransomware: "Das Motiv dahinter ist, dass Phishing-E-Mails einfach zu versenden sind und zu einem schnelleren Return on Investment (ROI) führen", schrieb das Unternehmen.[1] Es sagte auch, dass der Hauptzweck von Phishing-E-Mails darin besteht, Ransomware zu verbreiten, und dass Phishing-E-Mails mit den höchsten Klickraten Inhalte enthalten, die die anvisierten Benutzer bei ihrer täglichen Arbeit erwarten würden.

Ransomware- und BEC-Angriffe nehmen zu

Die Mimecast SOES-Umfrage ergab, dass mehr als sechs von zehn Unternehmen im vergangenen Jahr durch einen Ransomware-Angriff gestört wurden, was im Durchschnitt zu einem Arbeitsausfall von sechs Tagen führte. Auch die Zahl der BEC-Angriffe (Business Email Compromise) in Form von Betrug durch Identitätswechsel hat zugenommen: 51 % der Umfrageteilnehmer berichteten von einem Anstieg.

Die Endbenutzer sind eindeutig ein großer Teil des Problems, aber die gute Nachricht ist, dass sie auch ein großer Teil der Lösung werden können - mit der richtigen Schulung. Allerdings sind Schulungen zum Thema Cybersicherheit, die vor der Pandemie "richtig" waren, im neuen Normalzustand möglicherweise nicht mehr "richtig", da die Definition und die Grenzen des Unternehmensarbeitsplatzes mit der Zeit verschwimmen und sich verändern.

Tipps zur Sensibilisierung für Cybersicherheit

Im Folgenden finden Sie einige Maßnahmen, mit denen Sie sicherstellen können, dass Ihre Mitarbeiter über ein hohes - und sich ständig weiterentwickelndes - Sicherheitsniveau zu Hause und im Büro verfügen.

Behandeln Sie Ihre Mitarbeiter als Verbündete: Mitarbeiter, die verstehen, was auf dem Spiel steht und warum bestimmte Sicherheitsmaßnahmen, wie die Zwei-Faktor-Authentifizierung oder ein VPN, eingeführt wurden, werden eher bereit sein, ihren Teil zum Schutz des Unternehmens, seiner Marke und letztlich auch ihrer Arbeitsplätze beizutragen. Indem sie das Unternehmen schützen, schützen die Mitarbeiter auch sich selbst, vor allem, wenn sich der hybride Arbeitsplatz auf ihre eigenen privaten Netzwerke und Geräte ausweitet.

Seien Sie spezifisch: Schulungen zum Sicherheitsbewusstsein sollten auf die Bedürfnisse jedes einzelnen Unternehmens zugeschnitten sein und sich auf spezifische branchenbezogene Anliegen konzentrieren. Die Sicherheitsschulung für Mitarbeiter eines Gesundheitsunternehmens sollte beispielsweise nicht genau dieselbe sein wie die Sicherheitsschulung für Einzelhandelsmitarbeiter. Unternehmen sollten Schulungen anbieten, die die spezifischen Situationen der Mitarbeiter berücksichtigen, z. B. die Sicherheitsprobleme und -bedürfnisse von Mitarbeitern, die vollständig aus der Ferne arbeiten, im Vergleich zu denen, die nach einem gemischten Zeitplan arbeiten, und denen, die ganztags im Büro sind.

Geben Sie Beispiele: Beispiele sind sehr wirkungsvoll. Geben Sie praktische, nachvollziehbare Beispiele dafür, wie sich gängige Cyberangriffe wie E-Mail-Phishing-Betrug auf das Unternehmen und einzelne Mitarbeiter auswirken können - und vielleicht auch schon ausgewirkt haben. Stellen Sie sicher, dass Sie Beispiele in einer Vielzahl von Büro- und Privatumgebungen anführen, damit die Benutzer im gesamten Unternehmen einen Bezug herstellen können. Dies wird den Mitarbeitern bewusst machen, dass ihre Rolle einen Unterschied macht.

Machen Sie es den Mitarbeitern leicht, das Richtige zu tun: Je schwieriger es für die Mitarbeiter ist, das Richtige zu tun, desto geringer ist die Wahrscheinlichkeit, dass sie es tun. Halten Sie Schulungen kurz, einfach und relevant. Stellen Sie Informationen in einem leicht verdaulichen und zugänglichen Format bereit, das für die Arbeit der Mitarbeiter von Bedeutung ist. Wichtig ist auch, dass Ressourcen - z. B. eine Checkliste zum Erkennen von Phishing-E-Mails oder die Kontaktinformationen für den Sicherheits-Support - leicht zugänglich sind.

Erkennen Sie das technische Fachwissen der Mitarbeiter: Es ist wahrscheinlich, dass die Mitarbeiter in Ihrem Unternehmen über ein breites Spektrum an technischem Fachwissen verfügen. Einen technisch sehr versierten Mitarbeiter zu zwingen, einen Phishing-Einführungskurs zu absolvieren, wird nur schlechte Gefühle hervorrufen. Geben Sie den Mitarbeitern die Möglichkeit, spezielle Schulungen zu testen, und berücksichtigen Sie dabei diejenigen, die noch mehr Unterstützung benötigen, als die allgemeinen Schulungen bieten können.

Die Quintessenz

Das vergangene Jahr hat Herausforderungen mit sich gebracht, die niemand vorhersehen konnte. Keine Person oder Organisation wird die Pandemie unverändert überstehen. Schulungen zum Thema Cybersicherheit waren schon immer entscheidend für den Schutz der Daten, Mitarbeiter, Kunden und der Marke eines Unternehmens, aber auch sie müssen sich ändern und weiterentwickeln, um einer neuen Lebens- und Arbeitsweise gerecht zu werden.

[1] "Phishing und Ransomware können Ihre schlimmsten Albträume sein - wie können Sie diese sich entwickelnden Bedrohungen verhindern?" Deloitte