Nebst technischem Versagen ist die grösste Fehlerquelle im IT-Bereich nach wie vor der Faktor Mensch. Das Gegenmittel? Security-Awareness. Das heisst so viel wie Sicherheitsbewusstsein. Dazu ist sehr wichtig, dass die Benutzerinnen und Benutzer regelmässig für Gefahren im Cyber-Bereich sensibilisiert werden, um so ein besseres Security-Verständnis zu entwickeln.
Die Betonung hierbei liegt auf regelmässig – Trainieren ist eine wiederkehrende Aufgabe. Es sind Veranstaltungen, Aktivitäten und Kommunikation nötig, damit sich die Mitarbeitenden ihrer Verantwortung in Bereich IT-Sicherheit bewusst sind. Dabei ist wichtig, dass die Kommunikation nicht im Einbahnverkehr erfolgt; der Einbezug der Mitarbeitenden in den Security-Dialog wirkt sich positiv auf ihr Sicherheitsbewusstsein aus. Für die Effektivität muss die Kommunikation bezüglich Sicherheit gut verständlich und vielfältig sein, um die verschiedenen Bedürfnisse der Mitarbeitenden zu erfüllen. Da IT-Richtlinien zuweilen sehr trocken und langweilig wirken können, lohnt es sich, sich zu deren Kommunikation mit der Marketing- oder Kommunikationsabteilung zusammenzutun – so können Sicherheitsinformationen ansprechend und effizient kommuniziert werden.
So wichtig ein stetiger Kommunikationsfluss für das Sicherheitsbewusstsein auch ist, schlussendlich macht die Übung bekanntlich die Meister: Die Durchführung von Phishing-Kampagnen ist ein gutes Beispiel dafür, wie Unternehmen ihre Mitarbeitenden nach dem Zufallsprinzip vor Herausforderungen stellen können, die sie einem potenziellen Risiko aussetzen und ihre Reaktion testen. Mit der Zeit werden diese Tests dazu beitragen, dass das Thema Sicherheit im Vordergrund steht und die Mitarbeitenden ein Auge für die Erkennung von Phishing-Mails entwickeln. Ausserdem ermöglicht das Verfahren persönliche Feedbacks, um individuelle «Sicherheitslücken» der Mitarbeitenden zu thematisieren und so zu schliessen. Gerade bei länger angelegten Sensibilisierungskampagnen ist es ausserdem wichtig, den Fortschritt zu messen und überprüfen. Schliesslich kann man nur so wissen, wie der Stand ist und wo es noch Verbesserungsmöglichkeiten gibt.
So viel zum Idealfall. In der Realität sieht’s meist anders aus: Die IT-Abteilung ist mehr als genug mit der Bewältigung täglich anfallender Probleme beschäftigt, um auch noch Zeit zur Sensibilisierung aller Mitarbeitenden zu finden. Deshalb haben wir bei Vision Inside eine achtwöchige Security Awareness Kampagne entwickelt, die Arbeitnehmende unterschiedlichster Branchen fit für die Bewältigung ihrer digitalen Arbeit macht. Diese kann auf Wunsch auch zu einer einjährigen Begleitung mit wiederkehrenden Schulungen ausgebaut werden. Ob in acht Wochen oder einem Jahr – mache einen der grössten Risikofaktoren für deine Cyber Security zu einem ihrer wertvollsten Assets: mach deine Mitarbeitenden fit im Phishing.
