Sensibilisierung - Awareness

Die Anbieter technischer Systeme und modernster Technologien zur Abwehr von Cyberangriffen sind auf dem höchsten denkbaren Stand, und trotzdem gelingt es Angreifern in Systeme einzudringen und an Daten und Geld zu gelangen. Es ist Aufgabe der Unternehmensinhaber und Geschäftsführer von Unternehmen in die IT-Sicherheit zu investieren. IT-Abteilungen müssen den aktuellen und künftigen Bedrohungslagen mit höchstem Know-how und technischem Sachverstand begegnen. Und auch die Mitarbeiter sind gefragt, und das schließt alle Abteilungen, auch die zuvor genannten, mit ein. Mit ausreichender Sensibilisierung entsteht zwangsläufig eine ausgeprägte Awareness.

Neugier vs. Verstand

Mahnungen von Lieferanten kommen nicht urplötzlich per E-Mail, auch Rechnungen werden nicht ohne Ankündigung per E-Mail versandt. Absender, die E-Mails immer signiert versenden, schreiben nicht urplötzlich ohne Signatur. Für verschlüsselte E-Mails gilt das gleiche. Es gibt eine Handvoll Hinweise auf kompromittierende elektronische Kommunikation. Jedoch werden die Cyberkriminellen immer geschickter, die E-Mails werden immer vertrauenserweckender, die Ansprache wird immer persönlicher und gezielter. Und trotzdem erleben wir Anwender, die einen USB-Stick auf dem Firmenparkplatz finden und diesen mitnehmen, um ihn in den Firmen-PC zu stecken. Eine unseriöse Website oder E-Mail wird ins Unternehmen mitgenommen, um so dort zu öffnen. Im guten Glauben, die Firmen-IT wird schon Schutz aufgebaut haben gegen alle möglichen Angriffsszenarien. Das kann sein, muss aber nicht.

Sensibilisierung – Awareness

Alle beschriebenen Fälle benötigen eine Sensibilisierung der Mitarbeiter im Vorfeld. Dennoch ist keine noch so ausgeklügelte und ausgefeilte IT-Security dem naiven oder nicht compliance handelnden Mitarbeiter gewachsen. Es können Fehler passieren, keine Frage, aber für diesen Fall sind künftig klare Regeln vorhanden. Das geht von der Meldepflicht an die IT und Geschäftsführung über das Abschalten des Systems, an dem der Fehler konkret passierte. Falsche Scham nützt hier niemandem etwas. Nur sensibilisierte Mitarbeiter können Schaden verhindern oder zumindest verringern. Mit den Schlagworten IT-Sicherheit, Datenschutz und IT-Compliance bringen wir die Sensibilisierung der Mitarbeiter und die Ertüchtigung der technischen Systeme zusammen. Denn nur gemeinsam kann ein wirksamer Schutz aufgebaut werden.

IT-Security als Unterstützung

Auf der IT-Seite muss ein umfangreicher Schutz installiert werden. Dazu gehört eine Next-Generation Firewall, ein Virenschutz am Endpoint, der mit der Firewall kommuniziert (Synchronized Security / Heartbeat) und im Falle einer Infektion den infizierten Rechner isoliert, ein WLAN für Gäste und Mitarbeiter (BYOD), das vollständig vom produktiven Firmen-Netzwerk entkoppelt ist, Anti-SPAM und Anti-Malware für die E-Mail-Kommunikation und nicht zuletzt eine Abwehr gegen Verschlüsselungstrojaner (Ransomware) und gegen unbekannte Angriffsszenarien (Exploit Kits / Zero-Day-Bedrohungen).