Bildet eure Mitarbeitenden zu Cyber-Aktivisten aus!
Von Thierry Aubry, Head of Sales DACH & Nordics bei Ontinue
Den Oktober verbinden die Menschen auch hierzulande vor allem mit dem aus den USA herübergeschwappten „Spooktober“, der am letzten Tag in Halloween kulminiert. Zum Gruseln sind dieser Tage aber nicht nur Horrorfilme, Geistergeschichten und das ein oder andere Kostüm, sondern auch die Bedrohungslage im Cyberspace. Aus diesem Grund – vielleicht auch gerade wegen der symbolischen Strahlkraft – zelebriert die Welt jedes Jahr im Oktober den Cybersecurity Awareness Month. Ein passender Anlass, den Unternehmen nutzen sollten, aus ihren Mitarbeitenden waschechte Cyber-Aktivisten zu machen. Das lässt sich allerdings nicht mit einer Rundmail oder Selbstschulungsdokumenten erreichen.
Wie also sollten Unternehmen und deren CISOs vorgehen, um ihre Mitarbeitenden für dieses heikle Thema zu sensibilisieren und ihnen die nötige Routine zu vermitteln? Zunächst einmal ist es wichtig, ihr Bewusstsein zu schärfen. Zu diesem Prozess gehört natürlich der regelmäßige Reminder, Passwörter möglichst kompliziert aufzusetzen, sie keinesfalls weiterzugeben und nicht auf dubiose Anhänge und ominöse Links in Mails zu klicken. Auch wenn das kleine Ein-Mal-Eins der Cybersecurity nicht ausreicht, um Cyber-Aktivisten auszubilden, gehört es doch zu den dringend nötigen Basics, frei nach dem Motto „Steter Tropfen höhlt den Stein“. Ein zweiter Schritt sollte sein, sich ab und zu den „Spooktober“ wieder ins Gedächtnis zu rufen und die Mitarbeitenden einer kleinen Schocktherapie zu unterziehen: In vielen Unternehmen senden die Sicherheitsbeauftragten vermeintliche Phishing-Mails an ihre Kolleginnen und Kollegen, die sie bei Anklicken des Links auf eine Webseite weiterleiten, auf der in roter Signalfarbe „Sie wurden gehackt“ oder etwas Ähnliches steht, statt den erwarteten Inhalt zu präsentieren. Glücklicherweise handelt es sich dabei aber um die Landingpage eines Webinars zum Thema Cybersecurity Awareness oder einen entsprechenden Online-Kurs. Auch externe Dienstleister bieten solche Services. Gleichzeitig sollten die Verantwortlichen regelmäßige interne oder externe Trainings fördern, um in der Belegschaft den richtigen Riecher für Bedrohungen auszubilden. Anders als in allgemeinen Webinaren sollten diese Trainings allerdings gezielt auf die berufsbedingten speziellen Bedrohungen für die jeweiligen Mitarbeitenden ausgelegt sein.
Ein zweiter wesentlicher Punkt auf dem Weg, ein Kollegium von Cyber-Aktivisten auszubilden, ist die Speak-up-Kultur. Gemeint ist, ein Umfeld im Unternehmen zu schaffen, in dem die Mitarbeitenden nicht nur potenzielle Bedrohungen wie Social Engineering, Phishing oder ähnliche sicherheitsrelevante Vorfälle erkennen, sondern sie auch unverzüglich an das Cybersecurity-Personal kommunizieren. Nur auf diese Weise ist sichergestellt, dass die Sicherheitsmaßnahmen und -prozesse, die in entsprechenden Richtlinien, Roadbooks und Eskalationsmatrizen festgelegt wurden, ihr volles Potenzial entfalten und maximale Sicherheit garantieren. Eine Speak-up-Kultur zu etablieren, funktioniert allerdings nicht auf Knopfdruck. Unternehmen und IT-Sicherheitsbeauftragte müssen zunächst einfache Meldewege etablieren – etwa durch die Einführung intuitiver und leicht verständlicher Ticketsysteme. Daraufhin ist es zunächst wichtig, dass sie Kolleginnen und Kollegen im Umgang mit diesen Tools schulen. Dazu gehört auch, die entsprechenden Softskills auf Empfänger- wie Senderseite zu etablieren, im Klartext: konstruktive Feedback-Schleifen zu schaffen. Und schließlich müssen CISOs und Co. die Mitarbeitenden sensibilisieren, auch die Voraussetzungen für diese Maßnahmen zu erfüllen. Das heißt zum Beispiel, Phishing-Mails nicht einfach zu löschen. Mit jedem positiven Case wird das Vertrauen in die Sicherheitsstruktur gestärkt und die Beteiligung steigt.
Mein persönlicher Ratschlag an Unternehmen ist, vor der betrieblichen Halloweenfeier schon einmal im Geiste des Cybersecurity Awareness Month mit der Verbesserung der Sicherheitskultur zu beginnen. Dann können schon am 31. Oktober die Mitarbeitenden, pünktlich zum schaurigsten Tag des Jahres, vielleicht schon die ersten Gruselgeschichten mit Happy End austauschen.
Über Ontinue
Ontinue, der Experte für KI-gestützte Managed Extended Detection and Response (MXDR), ist ein rund um die Uhr verfügbarer Sicherheitspartner mit Hauptsitz in Zürich. Um die IT-Umgebungen von Unternehmen durchgehend zu schützen, ihren Sicherheitsstatus zu bewerten und kontinuierlich zu verbessern, kombiniert Ontinue KI-gesteuerte Automatisierung und menschliches Fachwissen mit dem Microsoft-Sicherheits-Produktportfolio. Durch die intelligente, Cloud-basierte Nonstop SecOps-Plattform reicht Ontinues Schutz vor Cyberattacken weit über die grundlegenden Detection- und Response-Services hinaus.
Weitere Informationen gibt es unter www.ontinue.com.
Pressekontakt
PR-COM GmbH
Katrin Link
Account Manager
Sendlinger-Tor-Platz 6
80336 München
Telefon +49 89 59997-814