Im Gespräch mit Bettina König von König Consult und dem TÜV Süd

Bettina König ist Geschäftsführerin von König Consult und ISO 27001 Lead Auditor für den TÜV Süd. Als Beraterin leitet sie seit Jahren Security-Awareness-Trainings. Im Interview erklärt sie, wie Firmen mit Hilfe von Schulungen das Sicherheitsbewusstsein ihrer Mitarbeiter schärfen können und welche Herausforderungen dabei zu meistern sind.

Bettina König: Der Mensch ist und bleibt der größte Risikofaktor für Unternehmen. Wenn Hacker-Angriffe erfolgreich sind, dann liegt das in 70 Prozent der Fälle daran, dass Mitarbeiter aus Unkenntnis etwa auf eine Phishing-Mail hereinfallen oder unbedarft auf Links zu Malware klicken. Damit öffnen sie dem Angreifer die Tür ins Unternehmensnetz. Ich habe auch schon erlebt, dass vergessen wurde, Räume mit Prototypen abzuschließen. Fahrlässigkeit und fehlendes Wissen sind die Hauptursachen für mangelnde Sicherheit. Zudem gibt es frustrierte Mitarbeiter mit sehr guten IT-Kenntnissen, die ihrem Unternehmen bewusst schaden wollen. Sie gelangen an Informationen, die sie eigentlich nicht lesen dürften, und geben diese an Mitbewerber weiter, zum Beispiel Mails von Geschäftsführern mit strategischen Inhalten.

König: Natürlich. Der wirtschaftliche Schaden ist enorm, wenn sensible Daten zur Konkurrenz wandern oder die IT etwa durch Ransomware lahmgelegt wird und Geschäftsprozesse nicht mehr funktionieren.

com! professional: Können Security-Awareness-Trainings denn bewirken, dass Mitarbeiter eine Phishing-Mail erkennen, und so verhindern, dass sie diese öffnen?

König: Na ja. Ob ich eine verdächtige Mail öffne oder auf einen Link klicke oder nicht, hat mit Wissen zu tun. Es geht um Information Security Awareness und das Bewusstsein für die eigene Verantwortung im Umfeld Informationssicherheit, ebenso um die Sicherheit der Informationen selbst. Firmen sollten ihre Mitarbeiter dafür sensibilisieren, welche Informationen unternehmenskritisch sind und wie sie diese Informationen entsprechend ihres Schutzbedarfs behandeln. Welche Informationssicherheits-Richtlinien gibt es im Unternehmen?

Mitarbeiter müssen diese Richtlinien kennen und verinnerlichen, wie sie die Vorgaben einhalten können. Auch der Maßregelungsprozess mit Sanktionen bei Nichteinhaltung der Vor­gaben muss bekannt sein. Oft hilft hier der gesunde Menschenverstand weiter. Mitarbeiter sollten beispielsweise nie geheime Daten auf USB-Sticks speichern oder offen am Drucker liegen lassen, wenn dies durch Richtlinien gefordert wird.

com! professional: Gibt es dafür auch technische Möglichkeiten?

König: Sie können die USB-Ports sperren oder konfigurieren, dass Mitarbeiter ein Dokument am Drucker erst nach der Eingabe einer PIN ausdrucken können. Unterstützend zu umfangreichen technischen Maßnahmen müssen Unternehmen ihre Mitarbeiter aber für mögliche Gefahren und Themen rund um Informations­sicherheit sensibilisieren.

com! professional: Wie sind solche Security-Awareness-Trainings aufgebaut? Mit welchen Inhalten müssen sich die Mitarbeiter auseinandersetzen?

König: Zunächst erhalten sie Basiswissen zu Begriffen und Themen rund um Informationssicherheit, sie lernen die Normen und Regeln sowie die Richtlinien des Unternehmens kennen. Neben diesen allgemeinen Themen sind Informationen zu aktuellen Themen der Cybersecurity Bestandteil der Schulungen. In großen Firmen finden etwa viermal pro Jahr Schulungen mit speziellen Schwerpunkten statt, die zwischen 30 und 40 Minuten dauern, teils online, teils als Präsenzseminar.

König: Den Maßregelungsprozess gibt die ISO 27001 vor. Die Sanktionen beziehungsweise Maßnahmen hängen von der Schwere und Häufigkeit des Verstoßes ab. Wirkt sich eine Aktion nur sehr gering auf die Informationssicherheit aus, folgen meist ein Gespräch mit dem Information Security Officer und bei Bedarf eine themenbezogene Schulung oder ein Coaching. Bei schweren Verstößen oder wiederholtem Fehlverhalten beziehen Firmen oft den Linien-Vorgesetzten oder die Personalabteilung mit ein, verteilen die Verantwortlichkeiten um oder erwägen arbeitsrechtliche Schritte wie Abmahnungen.

com! professional:  Welche Herausforderungen und Fallstricke gibt es bei Security-Awareness-Trainings?

König: Viele Mitarbeiter sind zunächst genervt, wenn sie sich mit Richtlinien oder Informationssicherheit auseinandersetzen müssen nach dem Motto „Das macht alles noch komplizierter. Womit soll ich mich denn noch beschäftigen?“. Die Herausforderung besteht darin, die Schulung für sie interessant zu gestalten. Der Trainer sollte daher immer einen persönlichen Bezug herstellen und mit Beispielen etwa zu Social Engineering oder Phi­shing-Mails arbeiten.