Nutzen Sie Ihre Diskretion: Cyber-Bewusstseinsbildung für Mitarbeiter

In der Regel liegt es im Ermessen der Mitarbeiter, wie sie die unternehmenseigene Technologie in Ihren Netzen nutzen. Sie haben also viel Macht, wenn es darum geht, welche E-Mails sie öffnen, welche Dateien sie herunterladen, welche tragbaren Medien sie anschließen und welche Websites sie besuchen.

Man geht davon aus, dass man die Mitarbeiter immer mit Hilfe von Technologie überwachen kann. Aber das kann - oder will - man nicht immer tun. Denn wenn Sicherheitskontrollen die Mitarbeiter daran hindern, das zu tun, was sie wollen, finden sie oft einen Weg, diese Kontrollen zu umgehen.

Ihr Unternehmen braucht einen Plan, um die Mitarbeiter darüber aufzuklären, was passieren kann, wenn sie von ihrem Ermessen keinen Gebrauch machen

Erhalten Sie Artikel wie diesen jede Woche in Ihren Posteingang. Abonnieren Sie noch heute Cyber Resilience Insights .

In dem kürzlich erschienenen E-Book des Cyber Resilience Think Tank "Employees Behaving Badly? Why Awareness Training Matters" sagte Gary Hayslip, Chief Information Security Officer bei Webroot, Folgendes über die Art und Weise, wie sich Mitarbeiter am ehesten im Umgang mit Technologie verhalten:

"Als CISO würde ich hoffen, dass die Mitarbeiter einigermaßen über gute Praktiken bei der Arbeit am Computer und der Nutzung des Internets aufgeklärt sind. Allerdings habe ich immer wieder festgestellt, dass dies nicht die Norm ist. Meiner Meinung nach liegt es in der Verantwortung des Unternehmens, das Sicherheitsbewusstsein zu schärfen und Ressourcen bereitzustellen, um die Mitarbeiter kontinuierlich daran zu erinnern, dass Sicherheit und Bedrohungen dynamisch sind und sich ständig ändern."

Er fuhr fort: "Wenn Ihre Mitarbeiter Ihrem Sicherheitsprogramm nicht vertrauen oder es nicht verstehen, ignorieren sie die richtigen Sicherheitskontrollen und umgehen sie. Damit beginnt ein ganzer Lebenszyklus des Sicherheitsprogramms des Unternehmens, in dem es selbst verursachte Brände löschen muss, weil es nicht gut genug war, den Wert seines Programms zu vermitteln.

Gary hat völlig Recht, was den Standpunkt des CISO zu diesem Thema angeht. Sie können hoffen, dass Ihre Mitarbeiter auf den richtigen Umgang mit der heutigen Technologie vorbereitet sind, aber Sie können nichts voraussetzen. Da es unmöglich ist, Ihre Mitarbeiter ständig im Auge zu behalten, müssen Sie dafür sorgen, dass sie gut darüber informiert sind, was passieren kann, wenn sie nicht die nötige Sorgfalt walten lassen.

Schlechte Gewohnheiten haben Konsequenzen

In der Regel tun Mitarbeiter nicht absichtlich oder aus Böswilligkeit etwas Böses, aber ihre Handlungen können die Sicherheit Ihres Unternehmens und Ihrer Daten erheblich beeinträchtigen. Laut dem 2018 State of Email Security Report waren 61 % der Unternehmen von einem Angriff betroffen, bei dem bösartige Aktivitäten von einem infizierten Benutzer per E-Mail an andere Mitarbeiter weitergegeben wurden. Wie das?

Hier sind häufige "schlechte Angewohnheiten", von denen Ihre Mitarbeiter vielleicht nicht wissen, dass sie gefährlich sein können, ohne Sensibilisierungsschulung :

Öffnen von E-Mails von Personen, die sie nicht kennen

Sie denken vielleicht: Es ist doch nur eine E-Mail, oder? Was kann es schaden, sie zu öffnen? Die Wahrheit ist, dass das Öffnen der E-Mail an sich vielleicht keinen großen Schaden anrichtet. Es ist das, was nach dem Öffnen einer E-Mail kommt, das Probleme verursacht, und wir werden gleich zu einigen davon kommen.

Wenn eine E-Mail von einer unbekannten Adresse eingeht, sollten Ihre Mitarbeiter sie am besten einfach ignorieren. Das ist der einfachste Weg, um viele Probleme zu vermeiden, wie zum Beispiel...

Unvorsichtiges Öffnen von Anhängen

Cyberangreifer verwenden gerne bösartige Anhänge, um Malware an ahnungslose Opfer zu verteilen. Ein klassisches Beispiel hierfür ist, wenn Hacker gefälschte, mit Malware verseuchte Lebensläufe an Personalverantwortliche schicken. Das Öffnen solcher Anhänge kann in Unternehmensnetzwerken verheerenden Schaden anrichten.

Ihre Mitarbeiter müssen beim Öffnen von Anhängen aus unbekannten Quellen mit Vorsicht vorgehen. Man weiß nie, was sich darin verbirgt, auch wenn sie noch so harmlos aussehen mögen.

Anklicken von Links, ohne sie vorher zu überprüfen

Der Schlüssel dazu ist die Validierung. Wenn eine E-Mail bösartige Links enthält, haben die Angreifer wahrscheinlich versucht, die E-Mail sozial zu manipulieren, um den Empfänger zum Anklicken zu verleiten. Diese Klicks können zu einer ganzen Reihe von Problemen führen, derer sich die Mitarbeiter möglicherweise nicht bewusst sind.

Diese Links könnten, wie bei Anhängen, Malware auf den Computer eines ahnungslosen Opfers schleusen und ein ganzes Netzwerk infizieren. Oder diese Links können zu Aufforderungen führen, in denen die Opfer ihre persönlichen Daten eingeben oder Geld überweisen sollen.

Es ist von entscheidender Bedeutung, die Mitarbeiter in Sachen Cyber-Sensibilisierung zu schulen, damit sie wissen, dass sie nicht auf verdächtige Links in E-Mails klicken sollten. Am besten ist es, sich beim Absender telefonisch oder persönlich zu vergewissern, dass er die E-Mail tatsächlich abgeschickt hat.

Verwendung von Arbeitsgeräten für den privaten Gebrauch

Ende 2018 gab Mimecast eine Google-Verbraucherumfrage mit 1.000 Teilnehmern in Auftrag, um die Verhaltenstrends von Mitarbeitern zu untersuchen, die Arbeitsgeräte für den privaten Gebrauch nutzen. Im Rahmen dieser Umfrage war etwa ein Viertel der Befragten nicht einmal über die grundlegendsten Bedrohungen für ihr Unternehmen informiert - einschließlich Phishing und Ransomware .

Dieses mangelnde Cyber-Bewusstsein kann Ihr Unternehmen gefährden. Wenn Mitarbeiter nicht wissen, was ihnen - und ihrem Unternehmen - schaden kann, ist es wahrscheinlicher, dass sie sich auf die Art von riskantem Verhalten einlassen, die Ihr Netzwerk zum Absturz bringen und Sie mit einem Chaos zurücklassen, das Sie aufräumen müssen.

Wie können Sie also das Blatt in Ihrem Unternehmen wenden? Indem Sie proaktive Schritte unternehmen, um das Bewusstsein für Cybersicherheit in Ihrem Unternehmen zu verankern und Ihre Mitarbeiter zu guten Gewohnheiten zu ermutigen, sollten Sie damit beginnen. Die Schulungen müssen ansprechend sein, Spaß machen, konsequent und in kurzen Abständen durchgeführt werden. Es ist unerlässlich, dass auch die Führungsebene zustimmt, damit sie den Wert dieser Übungen erkennt.

Erfahren Sie mehr darüber, wie Mimecast Ihr Unternehmen mit einem Schulungsprogramm zum Thema Cybersicherheit unterstützen kann hier .