Mitarbeiter als schwächstes Glied

„Phishing-Angriffe können mit relativ wenig Aufwand große Schäden verursachen, da sie auf die Schwachstelle Mitarbeiter zielen. Rund 90 Prozent aller Angriffe haben ihren Ursprung beim Nutzer, da er den einfachsten Angriffspunkt und damit auch das größte Risiko für die IT-Sicherheit darstellt“, erklärt Richard Werner, Business Consultant bei Trend Mi­cro. „Ein einfacher Klick genügt, und die Schad-Software wird im System verbreitet. Oft hilft zwar der gesunde Menschenverstand weiter. Firmen müssen aber zusätzlich ihre Mitarbeiter über Bedrohungen aufklären und ihnen zeigen, wie sie in derartigen Fällen richtig reagieren. Es geht um Sicherheitsbewusstsein, um Security Awareness.“

Das heißt: Technische und IT-Maßnahmen zur Sicherheit können noch so ausgeprägt sein, sie allein helfen nicht. Der Mensch ist das schwächste Glied in der Security-Kette. Er nimmt im Bereich der Informationssicherheit und speziell beim Thema Security Awareness eine Schlüsselrolle ein, da er aus Sicht der Angreifer das wichtigste Einfallstor bildet. Doch andererseits kann jeder Mitarbeiter Phishing-Mails und andere Attacken auch ins Leere laufen lassen, wenn er über genügend Wissen verfügt und deswegen nicht auf einen Anhang mit Schad-Software klickt. „Das Sicherheitsbewusstsein zu sensibilisieren ist ein wichtiger und sich schnell entwickelnder Bereich, insbesondere vor dem Hintergrund immer gezielterer Angriffe, die die Menschen zu einem entscheidenden Glied in der Sicherheitskette machen“, erklärt deshalb William „BJ“ Jenkins, CEO von Barracuda Networks.

Doch was ist Security Awareness genau? „Security Awareness bedeutet, dass jeder Mitarbeiter mit seiner inneren Einstellung, seinem Wissen um mögliche Angriffstechniken und damit verbundene Folgen sowie seinem Handeln maßgeblich zur Informationssicherheit beiträgt“, erklärt Holger Schmidt, Professor für Informatik und IT-Sicherheit am Fachbereich Medien der Hochschule Düsseldorf und freiberuflicher Berater für IT-Sicherheit. Er baut an seinem Lehrstuhl gerade ein Information Security Awareness and Training Lab auf. „Natürlich gibt es keine hundertprozentige Sicherheit, da das menschliche Verhalten unter anderen durch Gefühle beeinflusst ist und sich nicht absolut kontrollieren lässt. Der Mensch soll sich so verhalten, dass er dazu beiträgt, das Restrisiko zu minimieren.“

Um das zu gewährleisten und die Mitarbeiter für Sicherheit zu sensibilisieren, setzt rund die Hälfte der deutschen Unternehmen bereits auf Security-Awareness-Schulungen und nimmt Trainingsangebote eines mittlerweile breiten Anbietermarkts wahr. Das zeigt der Lagebericht 2018 des Bundesamts für Sicherheit in der Informationstechnik (BSI). Lediglich für 29 Prozent der Unternehmen kommen derzeit und auch in Zukunft keine Security-Awareness-Trainings zum Einsatz. 19 Prozent der befragten Unternehmen planen zumindest ein entsprechendes Schulungsangebot für ihre Mitarbeiter.

Und wie laufen diese Schulungen ab? Wie und mit welchen Inhalten können Firmen ihren Mitarbeitern Sicherheitsbewusstsein vermitteln und ihr Verhalten nachhaltig ändern? Reicht dafür eine eintägige Schulung pro Jahr? Welche He­rausforderungen und Fallstricke gibt es bei Security-Awareness-Trainings? Lohnen sich diese Trainings? Fragen über Fragen stellen sich.