Immer mehr Unternehmen erkennen die Vorteile des digitalen Arbeitens und gestalten ihre internen Prozesse sukzessive effizienter. Doch der digitale Wandel ist bei vielen Unternehmen und Mitarbeitern gekoppelt mit einer breiten Verunsicherung. Dies führt zwangsläufig auch in der IT-Sicherheit zu Problemen.
Die Gründe für diese Unsicherheit sind vielfältig. Der naheliegendste ist der, dass es Unternehmen versäumen, rechtzeitig innerhalb ihrer Belegschaft digitale Fachkenntnisse zu etablieren.
Während unser Privatleben schon stark digitalisiert ist, haben viele Unternehmen noch Berührungsängste mit dem digitalen Wandel. Leider erkennen Entscheider häufig zu spät, dass die eigenen Mitarbeiter überfordert sind und ihnen schlicht Wissen im Umgang mit digitalen Aufgaben fehlt.
Gefährlich wird es für Unternehmen, wenn die eigene Belegschaft Cybergefahren nicht erkennt und die Sicherheit von Unternehmensdaten bedroht ist. Hier sind umfassende Schulungen notwendig, um Mitarbeiter für das Thema IT-Sicherheit zu sensibilisieren. Mit den Awareness Trainings von G DATA CyberDefense machen Unternehmen nicht nur ihre Mitarbeiter für den digitalen Wandel fit, sondern schulen diese gleichzeitig im Bereich aktueller möglicher Bedrohungen von außen.
E-Learnings leisten einen wichtigen Beitrag, um die digitale Kompetenz der eigenen Mitarbeiter nachhaltig zu verbessern. Der Lerneffekt ist bei diesen innovativen Trainings-Konzepten enorm hoch, da sie Verständnis für die neuen Arbeitsprozesse und -weisen im Unternehmen aufbauen.
So lassen sich auf diesem Weg bestehende Unsicherheiten bei den Mitarbeitern abbauen. Mit diesem neugewonnenen Wissen können Mitarbeiter Cyberangriffe bereits im Keim ersticken.
Aufmerksame Mitarbeiter sind ein wichtiger Schutzfaktor
Technische Schutzmaßnahmen wie Firewalls und Virenscanner schützen nicht allein vor Cyberangriffen. Welche Rolle Mitarbeiter bei der IT-Sicherheit spielen und wie Unternehmen ihre Mitarbeiter dafür sensibilisieren können, erklärt Nikolas Schran, International Business Development Manager bei G DATA CyberDefense.
BASIC thinking: Warum müssen Unternehmen deiner Meinung nach ihre Mitarbeiter für das Thema IT-Sicherheit sensibilisieren? Reicht ein aufmerksamer Mitarbeiter da nicht aus?
Nikolas Schran: Cyber-Angriffe gehören heute für viele Unternehmen zum täglichen Geschäft. Das zeigen auch aktuelle Zahlen des Branchenverbandes Bitkom. In den vergangenen 24 Monaten waren 68 Prozent der Befragten Opfer einer Cyberattacke.
Dabei sehen wir aktuell zwei Trends. Erstens: Cyberkriminelle werden immer schneller und setzen automatisierte Programme ein, die ihn kurzer Zeit Schadcodes in Umlauf bringen.
Bei Emotet, der Allzweckwaffe der Cyberkriminellen, haben wir im ersten Halbjahr 2019 beobachtet, dass die Täter bis zu 200 neue Versionen pro Tag auf den Markt gebracht haben.
Zweitens suchen sich Cyberkriminelle ihre Opfer viel gezielter aus. Die Attacken sind von langer Hand geplant, und bereits im Vorfeld sammeln die Verbrecher wichtige Informationen. Sie passen dann die Lösegeldforderungen so an, dass das Unternehmen sich die Zahlung gerade noch leisten kann.
Bekannt sind uns Lösegeldforderungen von mehreren hunderttausend Euro bis hin zu siebenstelligen Summen. Die Erfahrungen der vergangenen Jahre zeigen jedoch, dass immer wieder Menschen erfolgreiche Cyberattacken begünstigen. Unserer Schätzungen zu Folge gehen sogar 90 Prozent aller Sicherheitsvorfälle auf menschliches Versagen zurück.
Denn in zahlreichen Fällen nehmen Verbrecher Mitarbeiter gezielt ins Visier, um ins Netzwerk einzudringen – Stichwort „Social Engineering“. Das zeigt: Alleine technologische Schutzmaßnahmen reichen bei weitem nicht aus. Aufmerksame Mitarbeiter sind ein entscheidender Faktor bei der Abwehr von Cyberattacken.
Wie sind die Security Awareness Trainings von G DATA aufgebaut?
Die Security Awareness Trainings von G DATA decken das gesamte Themenspektrum der IT-Sicherheit ab. In mehr als 35 Kursen wird nach neuesten Lernmethoden Wissen bedarfsgerecht vermittelt. Diese Kurse sind in neun verschiedene Themenblöcke gegliedert.
Zu Beginn absolviert jeder Mitarbeiter einen Einstiegstest, um seinen Wissensstand zu prüfen. Damit lassen sich die Inhalte für jeden Angestellten individuell steuern und priorisieren. Das reicht vom Umgang mit mobilen Geräten über aktuelle rechtliche Vorgaben wie die europäische DSGVO bis hin zu Kennzeichen aktueller Angriffsszenarien mit Malware und Phishing-Mails.
Dabei kommen sowohl Videos, als auch Texte und interaktive Multiple-Choice-Tests zum Einsatz. Für uns ist es wichtig, neu erlangtes Wissen immer wieder aufzufrischen und zu wiederholen.
Nur mit regelmäßigen, kurzen Trainingseinheiten bleiben sich die Mitarbeiter der Inhalte kontinuierlich bewusst. Bei aktuellen Gefährdungen oder Sicherheitsvorfällen können wir in kürzester Zeit neue Inhalte zusteuern, sodass Mitarbeiter entsprechend auf Angriffsversuche vorbereitet sind, die gerade kursieren.
Welches Feedback erhalten die Mitarbeiter, die an den Kursen teilnehmen?
Nach jeder Frage erhalten Mitarbeiter natürlich eine Rückmeldung, was richtig und was falsch war. Aber anstelle eines erhobenen Zeigefingers à la „Das war falsch!“ folgt eine genaue Erklärung, was sie hätten besser machen können. Dieses positive Feedback sorgt für einen optimalen Lernerfolg.
Gleichzeitig ist sichergestellt, dass die Mitarbeiter auch die nächste Lerneinheit absolvieren und das gesamte Training bis zum Ende mitmachen.
Eine zusätzliche Motivation bieten Zertifizierungen: Mitarbeiter können sich nach bestandenen Themenblöcken eine Urkunde über die erfolgreiche Teilnahme ausstellen lassen.
Aktuell denken wir über mögliche Erweiterungen wie zum Beispiel Incentivierungen für erfolgreiche Mitarbeiter oder Gamification-Ansätze nach, bei der Fachabteilungen gegeneinander antreten können.
Um den Lerneffekt zu verstärken, zeigen alle Lerninhalte Situationen, die Mitarbeiter aus ihrem eigenen Arbeitsalltag kennen. Sie sind verständlich formuliert und daher besonders für Angestellte ohne technische Vorkenntnisse schnell und einfach nachvollziehbar.
Der Lernzuwachs ist für den Mitarbeiter, aber auch Personal- und IT-Verantwortliche messbar. Wichtig dabei: Die Security Awareness Trainings sind datenschutzkonform und auf die Vorgaben des Betriebsverfassungsgesetzes abgestimmt.
Welchen Mehrwert bieten E-Learnings gegenüber Präsenztrainings?
Ab einer bestimmten Unternehmensgröße lassen sich verpflichtende Präsenzschulungen kaum noch realisieren. Mindestens ein Mitarbeiter ist krank, im Urlaub oder dienstlich unterwegs. Und der Aufwand, zusätzliche Termine für diese Mitarbeiter zu organisieren, steigt nahezu exponentiell.
E-Learnings müssen auf diese Befindlichkeiten keine Rücksicht nehmen. Gerade Unternehmen mit verteilten Standorten profitieren hiervon immens.
Hinzu kommt: Alle Mitarbeiter erhalten die gleichen Informationen in derselben Form und sind dozentenunabhängig. Gleichzeitig lassen sich die Trainings auf die persönlichen Vorkenntnisse der einzelnen Mitarbeiter anpassen.
Neue beziehungsweise aktuelle Lerninhalte lassen sich schnell integrieren und stehen allen Teilnehmern sofort zur Verfügung. Und nicht zuletzt können Vorgesetzte und Personalverantwortliche dank integrierter Testmodule den Lernfortschritt ihrer Mitarbeiter prüfen.
Welche Unternehmen beziehungsweise welche Mitarbeiter sollten Security Awareness Trainings durchführen?
Die Frage müsste ja eigentlich andersherum gestellt werden: Welches Unternehmen kann es sich leisten, auf solche Trainings zu verzichten? Die Antwort lautet schlicht: Keines! Denn Cyberangriffe treffen kleine Unternehmen, wie den mittelständischen Bäcker mit drei Filialen, genauso wie einen internationalen Konzern wie beispielsweise die Reederei Maersk. Daher ist eine Investition in das IT-Sicherheitswissen der Mitarbeiter gleichzeitig auch eine Investition in die Zukunft des Unternehmens.
Unternehmen können die Awareness Trainings für sich nutzen, um sich vom Wettbewerb zu unterscheiden. Denn sie signalisieren ihren Kunden damit, dass sie sich ganzheitlich mit dem Thema beschäftigen und nicht nur auf technologische Schutzmaßnahmen vertrauen.
Vielen Dank, Nikolas, für das Gespräch!
Du möchtest mehr über die eLearning-Angebote von G DATA erfahren?
Vielen Dank für die Tipps. Ich denke gerade auch, wenn es darum geht, dass man vielleicht eine Firma kaufen will, um sie in die eigenen Unternehmen einzugliedern, kann das wichtig sein. IT Sicherheit ist im alten Betrieb vielleicht nicht so gegeben und so muss man darauf achten, dass sich keine Sicherheitslücken ergeben.