Wir erleben derzeit, dass Cyberangriffe immer raffinierter werden, die konkrete Bedrohung nimmt ständig zu. Unternehmen können sich auf vielfältige Weise dagegen schützen – hier kommen einige vielleicht überraschende Tipps, wie Sie den Schutzschild um Ihre Organisation verstärken können.

Eine der effektivsten Abwehrstrategien ist, die Mitarbeiter zu motivieren, selbst aktiv Verantwortung für die IT-Sicherheit zu übernehmen. Stellen Sie sich vor, wie sicher Ihre IT-Landschaft, Ihre Daten, Ihre Prozesse wären, wenn jeder Einzelne wüsste, worauf hinsichtlich Cyberbedrohungen zu achten ist, und entsprechend die Augen aufhielte …

Das ist keine Wunschvorstellung – es funktioniert tatsächlich. Denn auch, wenn Online-Betrüger immer kreativere Ansätze zur Überwindung der IT-Security-Systeme entwickeln, so kommen in der Praxis doch meist die vergleichsweise simplen bekannten Angriffsmuster vor. Wenn Sie also dafür sorgen, dass alle Mitarbeiter diese Muster kennen, sie im richtigen Moment identifizieren und wissen, wie sie reagieren müssen, dann bilden die Kollegen plötzlich eine sehr schlagkräftige Verteidigungslinie.

Alle gemeinsam für IT-Security

Es ist ein sich ständig verstärkender Kreislauf des Guten: Je mehr „Sicherheitsbeauftragte“ es gibt, desto tiefer dringt das Security-Bewusstsein in die Unternehmenskultur ein. Das wiederum minimiert Risiken und verbessert die Gesamtsicherheitslage.

Dafür muss jeder Mitarbeiter wissen, wie wichtig sein persönlicher Beitrag für die Abwehrkräfte des gesamten Unternehmens ist. Starten Sie deshalb eine interne Kampagne, die dieses Sicherheitsbewusstsein fördert – um einen Wettkampf in Gang zu setzen, in dem Ihre Mitarbeiter motiviert gegen jeden vorgehen, der dem Unternehmen Schaden zufügen will.

Die Grundausrüstung

Sobald Sie Ihre neue IT-Security-Truppe am Start haben, brauchen die Kollegen einige Basis-Tools, um effektiv agieren zu können:

Ein neutrales Reportingsystem: „Wenn Dir etwas auffällt, sag Bescheid“ – das ist ein zentraler Mechanismus fast jedes Sicherheitssystems auf diesem Planeten. Aber wissen Ihre Mitarbeiter, was sie genau tun müssen, wenn ihnen etwas verdächtig erscheint?

Die häufigsten Online-Bedrohungen haben irgendetwas mit Phishing zu tun – Leute bekommen Nachrichten per E-Mail oder auf ihr Telefon, oft in Form von Angeboten, die zu schön sind, um wahr zu sein. Kürzlich gab es einen Fall, bei dem Kriminelle das E-Mail-Protokoll eines Unternehmens kopierten und sogar noch ein Foto des CEOs nutzten, um Mitarbeiter dazu zu bringen, auf einen Link zu klicken – weil sie denken sollten, es sei eine Nachricht von ganz oben.

Sorgen Sie also dafür, dass Ihre neuen IT-Sicherheitskräfte immer auf dem neuesten Bedrohungsstand sind, damit sie wissen, worauf sie achten müssen – und geben Sie Ihnen die Möglichkeit, Verdächtiges zu melden. Und zwar ohne Sorge vor eventuellen Konsequenzen. Es mag komisch erscheinen, eine Nachricht des CEOs infrage zu stellen – aber besser komisch als angeschmiert.

Laufendes Training: Klar, selbst wenn wir heute jeden einzelnen Mitarbeiter schulen, dann ist das in ein paar Monaten natürlich wieder fällig. Neue Kolleginnen und Kollegen müssen lernen, worum es geht, damit der Sicherheitswall stabil ist. Und es gibt immer neue Bedrohungen, von denen die Mitarbeiter wissen müssen.

Was wir bei Avanade selbst erlebt haben: Um Mitarbeiter dauerhaft zu motivieren, brauchen wir ihre Aufmerksamkeit. Und das erreichen wir, indem wir Geschichten erzählen. In unserem IT-Security-Dialog berichten wir von aktuellen Fällen und wie damit umgegangen worden ist, sei es bei uns selbst oder anderswo. Wir zeigen am praktischen Beispiel, was passiert, wenn Mitarbeiter aufmerksam sind – und sprechen auch über Situationen, in denen es nicht so gut gelaufen ist.

Professioneller Support: Wenn Sie Zugriff auf Change-Management-Experten haben, dann holen Sie sie dazu. Bei Avanade hilft uns unser Change-Management-Team sehr bei der Kommunikation, beim Finetuning unserer Programme und indem es uns immer wieder erinnert, dass wir von den Anwendern aus denken müssen. Sie setzen auf einen Mix aus Yammer, E-Mails, Videos und anderen Kommunikationsinstrumenten, um interne Kampagnen umzusetzen, die immer wieder aktualisiert werden. Und wir holen uns für unsere News, unsere Informationen und unsere Beratung die Rückendeckung der Unternehmensführung, damit sie nicht als „schon wieder so eine Nachricht von der IT“ verpuffen.

Es gibt übrigens hervorragende Tools, die Ihren Mitarbeitern dabei helfen, sicherheitsbewusst zu handeln. Bei Avanade arbeiten wir mit folgenden:

• Ein Anti-Phishing Button: Der taucht im Outlook jedes Mitarbeiters auf. Wenn man eine Nachricht markiert und auf den Button klickt, geht automatisch eine Nachricht an unsere Security-Abteilung, wo die Nachricht analysiert wird. Demnächst werden wir Mechanismen einbauen, über die wir die Mitarbeiter unkompliziert darüber informieren können, was bei der Analyse herausgekommen ist.
• Anti-Phishing Tests: Die Mitarbeiter bekommen immer wieder in gleichen Intervallen Nachrichten, die wie Phishing-Versuche aussehen. Wer das meldet, erhält sofort ein Lob fürs scharfe Auge. Übersieht jemand die Gefahr mehrfach, dann gibt es die Möglichkeit, das Wissen in einem Trainingsprogramm auffrischen.
• Hinweis auf externe Nachrichten: Nachrichten, die von außen kommen, werden automatisch als „external“ gekennzeichnet – eine einfache visuelle Erinnerung daran, die Message genauer anzuschauen.
• KI-gestützte Multifaktor-Authentifizierung: Anwender, die sich von einem bekannten unternehmenseigenen Device einloggen, durchlaufen eine weniger strenge Sicherheitsprüfung. Wer hingegen mit einem neuen Gerät oder einem, das nicht zum Unternehmen gehört, ins System will, muss zusätzliche Security-Prozesse durchlaufen. Unser Ziel ist es, den Mitarbeitern die sicherste Variante möglichst einfach zu machen: das Nutzen des vom Unternehmen bereitgestellten Equipments.

Ganz gleich, wie ausgefeilt die IT-Security-Technologie auch ist: Aufmerksamkeit und Sicherheitsbewusstsein gehören zu unseren stärksten Waffen im Kampf gegen Cyberkriminalität. Indem wir Mitarbeiter schulen und befähigen, selbst zu agieren, investieren wir in eine der effektivsten Abwehrstrategien überhaupt. Und indem wir ihren Einsatz anerkennen und belohnen, entwickeln wir eine Bewusstseinskultur rund um IT-Security, die dem Unternehmensschutz dauerhaft zugutekommt.

Dieser Artikel wurde ursprünglich im US-amerikanischen Magazin Forbes veröffentlicht.