Syda Productions - stock.adobe.c

Welche Themen sind bei Security-Schulungen wichtig?

Wenn Unternehmen ihre Mitarbeiter richtig in Sachen Sicherheitsbewusstsein schulen, können sie die Angriffsfläche ihrer Organisation verringern.

Wenn sich Unternehmen dafür entscheiden, die eigenen Mitarbeiter über Schulungen besser für das Thema Sicherheit zu sensibilisieren, gilt es sich vorab mit den Themen zu beschäftigen, die behandelt werden sollen. Diese Trainings sollten ganz allgemeine Aspekte berücksichtigen, wie auch Situationen abdecken, die ganz speziell für das eigene Unternehmen gelten.

Sowohl die Trainingsmethoden als auch die verwendeten Materialien können je nach Zielgruppe sehr individuell zugeschnitten sein. Beispielsweise kann die Buchhaltung eine Schulung erhalten, die sich speziell mit den Sicherheitsaspekten der verwendeten Buchhaltungssoftware beschäftigt und gezielten Phishing-Angriffen, denen Mitarbeiter ausgesetzt sein können. Bei Vertriebsabteilungen kann es hingegen sinnvoll sein, umfangreiche Schulungen durchzuführen, die sich mit einem sicheren Verhalten und den Security-Risiken auf Geschäftsreisen beschäftigen.

Wir haben einige wichtige Punkte zusammengefasst, die Schulungen zum Thema Sicherheitsbewusstsein in jedem Fall behandeln sollten.

Social Engineering

Zweifelsohne gehört Social Engineering zu den größten Sicherheitsbedrohungen für Unternehmen. Hier hängt es sehr von der menschlichen Interaktion ab, ob Angreifer Zugriff zu Netzwerken, Systemen und auch physischen Standorten erhalten. Social Engineering umfasst eine Vielzahl möglicher Angriffsvarianten. Cyberkriminelle nutzen dabei ausgefeilte Methoden, um an Informationen zu gelangen und sich wiederum mit deren Hilfe Zugang zum Unternehmen zu verschaffen. Dabei haben traditionelle, technische Ansätze oft wenig Chancen, dies zu verhindern. Wenn die Mitarbeiter nicht ausreichend geschult sind, und die Vorgehensweisen der Angreifer kennen, können sie leicht zum Opfer von Social Engineering werden.

Angriffe im Bereich Social Engineering können auf unterschiedlichste Art und Weise erfolgen. Sehr häufig sind Spear-Phishing-Attacken, bei denen potenzielle Opfer sehr gezielt mit E-Mails angegangen werden, die ganz legitim erscheinen. Diese Phishing-E-Mail soll den Empfänger dazu verleiten, auf einen bösartigen Link zu klicken oder vertrauliche Informationen weiter zu geben. Zudem geben sich Angreifer über soziale Netzwerke, per Telefon oder auch Messaging-Dienste als vertrauenswürdige Personen aus. Ziel der Angriffe ist es meist, in den Besitz von Informationen zu gelangen, mit denen sie sich dann möglicherweise im Unternehmen weiterbewegen oder die nächste Angriffsstufe auslösen können.

Physische Sicherheit

Ein Thema, das häufig unterschätzt wird, ist die physische Sicherheit in ihrer unterschiedlichen Ausprägung. Dies umfasst den unbefugten Zugang zu sicheren Gebäuden oder auch sicheren Bereichen innerhalb eines Gebäudes. Dazu gehört auch der möglich unbefugte physische Zugriff auf Systeme. Zu diesem Themenbereich gehört die ordnungsgemäße Verwendung von Zutrittskarten oder anderen vergleichbaren Lösungen. Auch die ordnungsgemäße Aufbewahrung von Informationen von Form von Dokumenten fällt in diesen Bereich. Zudem sollten die Mitarbeiter wissen, nach welchem Verfahren im Falle eines Falles etwa das eigene Sicherheitspersonal zu benachrichtigen ist.

Sicherheit im IT-Alltag

Alle Mitarbeiter werden während ihres ganz normalen Berufsalltags mit vielen Situationen konfrontiert, bei denen das Sicherheitsbewusstsein eine entscheidende Rolle spielt. Da geht es um nur augenscheinliche banale Dinge, wie etwa sichere Passwörter oder die korrekte Einstufung von sensiblen Daten. Und apropos Daten, geeignete sichere Verfahren für den Datenaustausch sind hier ebenfalls ein Thema. Und auch die alltäglichen Risiken im Hinblick auf die Kommunikation via E-Mail, Messaging und auch Telefon und Videokonferenz sollten mit entsprechenden Best Practices Berücksichtigung finden. Zudem müssen die Mitarbeiter wissen, wen sie bei einem Vorfall ansprechen können.

Bei den Schulungen sollten die Mitarbeiter tatsächliche Fälle von Phishing-Betrug und Malware kennenlernen. Das alles sollte bestmöglich auf die jeweiligen Teilnehmer abgestimmt werden, damit sich Anwender auf Bedrohungen einstellen können.

Sicherer Fernzugriff

Einst haben nur Vertriebsmitarbeiter, Servicetechniker und Support-Spezialisten von außerhalb auf die Unternehmens-IT zugegriffen. Mittlerweile gilt es dies jedoch häufig für alle Mitarbeiter gleichermaßen. Und das Risiko eines Sicherheitsvorfalls steigt, wenn Mitarbeiter außerhalb der eigenen Sicherheitsvorkehrungen im Netzwerk des Unternehmens arbeiten. Hier muss die IT eine ganze Reihe von Faktoren berücksichtigen: das Arbeiten an öffentlichen und ungesicherten Orten, die Nutzung von VPNs und Verschlüsselung, den Einsatz unterschiedlichster mobiler Geräte beim Umgang mit sensiblen Informationen und vieles mehr.

Fazit

Wahrscheinlich haben Unternehmen mehr Themen und Materialien zu Schulungen der IT-Sicherheit parat, als sich in der Praxis schnell umsetzen lassen. Will man Endanwender umfassend informieren, ist der Zeitbedarf meist größer als viele Unternehmen zugeben möchten. Typische Einheiten von 30 oder 60 Minuten sind nicht einmal annähernd ausreichend. Wenn Unternehmen möchten, dass die Schulungen in Bezug auf das Sicherheitsbewusstsein Wirkung zeigen, sollten sie genügend Zeit für die Trainings der Endanwender einplanen.

Nächste Schritte

Wichtige Regeln für Security-Awareness-Schulungen

Worauf Unternehmen bei internen Phishing-Tests achten müssen

Social Engineering und Der Risikofaktor Mensch

Erfahren Sie mehr über IT-Sicherheits-Management

ComputerWeekly.de
Close