Digitalization

Das Coronavirus hat den Arbeitsplatz vieler Menschen ins Homeoffice verlegt. Mit Folgen für die digitale Sicherheit. Doch die Abwehrkräfte der Mitarbeiter lassen sich online trainieren.

In der digitalen Welt des 21. Jahrhunderts sind Daten ein begehrter Rohstoff. Im Gegensatz zu Öl oder Gold sind die vernetzten Informationen schier unendlich verfügbar. COVID-19 hat die Entwicklung hin zu einer datengetriebenen Gesellschaft sogar noch verstärkt, mittlerweile sind weltweit etwa 4,5 Milliarden Menschen online. Der US-amerikanische Softwareanbieter Domo hat ermittelt, dass pro Minute schätzungsweise eine Million Dollar im Internet ausgegeben wird. Allein Amazon verschickt in diesem Zeitraum rund 6.500 Pakete. In vielen Unternehmen hat die Pandemie zudem den dezentralen Informationsaustausch verstärkt. Microsoft Teams wird minütlich von etwa 52.000 Menschen verwendet, der Videokonferenz-Marktführer Zoom kommt in dieser Zeit sogar auf circa 208.000 User.

Wo sich viele Menschen virtuell austauschen, entsteht eine unendliche Fülle an Informationen. Der Wert der online vorhandenen Daten ist immens und lockt Cyberkriminelle an. Ihre Angriffspalette ist vielseitig, die Strategie hingegen oft gleich. Denn Mitarbeiter sind zumeist die größte Schwachstelle. Ohne Know-how können sie die Manipulationen erst dann erkennen, wenn es zu spät ist. Denn die Gefahr lauert online wie offline. Jeder verwendbare Hinweis kann wertvoll sein, dafür durchwühlen die Kriminellen sogar den Müll. Ob zerknüllte Notizzettel oder vermeintlich harmlose Informationen wie veraltete Telefonlisten, Kalender und Organisationsdiagramme – sind die Betrüger erstmal im Besitz wertvoller Daten oder Passwörter, stehen ihnen alle Türen zum Unternehmensnetzwerk offen.

 

Schäden in Milliardenhöhe

Ein weiteres Mittel, um sich den Zugang zu Passwörtern zu erschleichen, ist Social Engineering. Getarnt als Techniker eines Telekommunikationsdienstleisters oder Servicemitarbeiter einer Softwareplattform gewinnen die Täter mit einer geschickten Gesprächsführung das Vertrauen ihrer Opfer. Vor allem gefälschte E-Mails oder Nachrichten in privaten und beruflichen Sozialen Netzwerken können Menschen schnell und einfach täuschen. Die Folgen sind enorm. Mit den sensiblen Zugangsdaten können die Cyberkriminellen das Unternehmensnetzwerk jederzeit ungehindert mit Schadsoftware infiltrieren. Selbst die beste Technik einer eigentlich gut geschützten IT-Infrastruktur ist gegen dieses Einfallstor machtlos.

Fehlt Mitarbeitern die Sensibilität für die Gefahren des Internets, wird es für Unternehmen schnell gefährlich und teuer. Denn Cyberangriffe verursachen enorme Schäden. Laut Bitkom, dem Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V., liegt die Schadensumme der erfolgreichen Attacken auf IT-Systeme bereits bei 102,9 Milliarden Euro pro Jahr, Tendenz steigend. Weil viele Menschen in der Corona-Pandemie ihren Arbeitsplatz unvorbereitet ins Homeoffice verlegt haben, ist eine riesige Angriffsfläche entstanden.

Außerhalb geschützter Werksgelände wird sicherheitskonformes Arbeiten zu einer außerordentlich umfangreichen Aufgabe und betrifft Organisation, Entscheider und Mitarbeiter. „Für Informationssicherheit muss auch im Homeoffice gesorgt werden“, sagt Björn Eibich, Leiter Cyber- und Informationssicherheit bei TÜV Hessen. „Deshalb sollten Unternehmen die notwendigen Voraussetzungen für sicheres Arbeiten schaffen, egal an welchem Ort. Denn Kriminelle lauern überall – und im Homeoffice oder auf Dienstreise besteht das größte Risiko.“

 

Mitarbeiter schützen die Systeme

Die meisten Unternehmen sind sich der drohenden Gefahr bewusst und investieren in ihre Cybersicherheit. Allzu oft beschränken sich die Ausgaben allerdings auf technische Optimierungen. Aber Technik allein ist nicht imstande, die IT-Infrastruktur ausreichend zu schützen. Ohne gleichzeitige Sensibilisierung der Mitarbeiter können Investitionen schnell wertlos werden. Wenn sie E-Mail-Anhänge gutgläubig öffnen, weil sie davon ausgehen, dass ihr Chef wichtige Informationen versendet, kommt jede Hilfe zu spät.

Sensibilisiertes Personal schützt dagegen die IT-Systeme vor Cyberangriffen. Das bestätigt eine Umfrage des Digitalverbands Bitkom. In sechs von zehn Unternehmen hat demnach das Personal dafür gesorgt, dass die Kriminellen erfolglos blieben. Björn Eibich bestätigt: „Wachsame Mitarbeiter sind ein wirkungsvoller Schutz. Wenn sie ein Bewusstsein für die Gefahren des Internets haben, erhöht sich die Sicherheit des gesamten Unternehmens.“

Ein funktionierendes Trainingsprogramm fördert die Mitarbeiter dabei, digitale Gefahren zielsicher zu erkennen. Mit einem Security Awareness Training wird zunächst ein grundlegendes Verständnis von Cyber- und Informationssicherheit vermittelt. So trainieren die Nutzer ihre eigene Cyberimmunität. Denn vorhandene Wissenslücken können geschlossen werden. Es benötigt nur etwas Übung, um gefälschte Webseiten oder Mails zu erkennen. Oft hilft schon die Frage, ob die im Postfach eingegangenen Informationen erwartet wurden oder ob man den Absender kennt. Und spätestens bei einer Handlungsaufforderung sollte das Misstrauen erwachen und beim vermeintlichen Absender nachgefragt werden.

 

Training für die eigene Firewall

In der Regel beginnen die Security Awareness Trainings mit gefälschten Phishing-Mails, um den Kenntnisstand der Teilnehmer zu ermitteln. „Auf der Grundlage der Ergebnisse entwickeln wir anschließend ein individuelles Schulungskonzept“, erklärt Björn Eibich. Bei TÜV Hessen können Unternehmen aus Basisschulungen und Zusatzmodulen mit Spezialthemen wählen. Die einzelnen Kurse bestehen aus didaktisch aufgebauten Lerneinheiten zu verschiedenen Themen. Beim Aufbau der Plattform und der Kurse wurde TÜV Hessen griff TÜV Hessen auf die Expertise des renommierten IT-Security-Dienstleisters G DATA CyberDefense zurück.

Das Angebot unterscheidet zwischen verschiedenen Nutzergruppen. Für Einsteiger gibt es Einführungsprogramme, Führungskräfte erhalten individuell abgestimmte Programme zu Informationssicherheit und auf Experten warten Kurse zur Security Awareness für IT-Professionals. Weiterführende Trainings befassen sich mit konkreten Inhalten, etwa der europäischen Datenschutzgrundverordnung (DSGVO), Malware oder mobilen Geräten.

Die Kurse unterscheiden sich zudem in Länge und Format. Schnelle und kleine Lerneinheiten behandeln beispielsweise das Internet of Things, Ransomware, die Meldung von Sicherheitsvorfällen oder das Arbeiten in der Cloud. Videos vermitteln darüber hinaus kurzweilig, wie wichtig das Bewusstsein für die jeweilige Gefahr ist. Mit Multiple-Choice-Fragen überprüfen die Teilnehmer nach jeder Lerneinheit, ob sie die Inhalte verstanden haben. Wie erfolgreich das auf die Unternehmensbedürfnisse abgestimmte Programm ist, zeigt sich am Ende des Trainings. „Wenn das gesamte Trainingsprogramm absolviert wurde, erhalten die Teilnehmer erneut Phishing-Mails. Die Öffnungsrate zeigt, wie stark sie sich verbessert haben“, bilanziert Björn Eibich.

 

Erster Schritt zum Sicherheitskonzept

Viele Unternehmen setzen auf Online-Plattformen, um ihre Mitarbeiter zeitnah und flexibel zu schulen. Ein Vorteil, gerade während der COVID-19-Pandemie. Die Teilnehmer können für Ihre Aufgaben relevante Kurse jederzeit beginnen, unterbrechen und abschließen. Darüber hinaus muss keine spezielle Software implementiert werden. Den Stand ihrer individuellen Sensibilisierung können die Nutzer in einem Dashboard einsehen. Nach dem erfolgreichen Abschluss einzelner Kurse, Module oder des gesamten Trainings erhalten die Teilnehmer ein Zertifikat.

Die Analyseoptionen stehen auch den IT-Verantwortlichen der Unternehmen zur Verfügung. Berichte geben einen Einblick über den Fortschritt des Trainingsprogramms, etwa

wie viel Prozent der Mitarbeiter die Schulung bereits absolviert haben – inklusive der Ergebnisse der Multiple-Choice-Abfragen. Die Analysen bilden die Grundlage für die Verantwortlichen, um ihre Berichtspflichten zu erfüllen. Am Umfang der Berichterstattung wird zudem deutlich, wie ernst Unternehmen die digitale Bedrohung nehmen. „Das Reporting geht im Idealfall über in der Compliance festgelegte Standards hinaus“, sagt Björn Eibich. „Damit werden Security-Awareness-Trainings zu einem Teil des gesamten Sicherheitskonzepts.“

Cybersicherheit gefordert

In verschiedene Branchen stehen Unternehmen bereits in der Pflicht, ein funktionierendes Sicherheitskonzept nachzuweisen. Betreiber kritischer Infrastrukturen (KRITIS) müssen beispielsweise ein zertifiziertes Informationsmanagementsystem implementiert haben – inklusive Schulungen und Lerneinheiten für die Belegschaft. Auch in der Finanz- und Versicherungswirtschaft gibt es entsprechende Vorgaben. Die Bundesanstalt für Finanzdienstleistungsaufsicht (kurz: BaFin) und die Europäische Zentralbank (EZB) fordern Geldinstitute dazu auf, ihre Mitarbeiter zu schulen. Für Partner der Automobilindustrie gelten die Regeln der TISAX-Zertifizierung. Der Branchenstandard von Autokonzernen und Herstellern reguliert die Anforderungen von Cybersicherheit und Datenschutz. Schulungskonzepte und der Nachweis, dass keine sensiblen Daten entwendet werden können, zählen zu den Vorgaben für die Zulieferer.