Bildrechte: Fotolia/Freedomz

Wissen, wie Cyberkriminelle agieren: Mitarbeiter-Coaching gehört zum effektiven IT-Schutz dazu

Im letzten Jahr hat eine regelrechte Welle von Malware-Angriffen auf der ganzen Welt für viel Aufregung gesorgt. Nur durch den Erpressungstrojaner WannaCry ist einigen Schätzungen zufolge europaweit ein finanzieller Schaden von mehreren Milliarden Euro entstanden. Anlass genug für Unternehmen, in Sachen IT-Sicherheit gründlich aufzurüsten. Investitionen und operative Eingriffe in die Sicherheitsarchitektur alleine greifen dabei jedoch zu kurz: Ebenso wichtig ist es, das Bewusstsein der IT-Verantwortlichen für die Denk- und Verfahrensweise von Cyberkriminellen zu stärken.

Effektiver Schutz keine Option, sondern ein Must-have

Mittlerweile wird IT-Sicherheit von den Unternehmen ernst genommen. Nicht nur die Explosion von immer aggressiverer Malware in den letzten Jahren, sondern auch die neue EU-DSGVO (EU-Datenschutzgrundverordnung) und BSI-Kritisverordnung zum Schutz kritischer Infrastrukturen (z.B. Energieversorger) haben dafür gesorgt, dass effektiver Schutz gegen Sicherheitsrisiken keine Option mehr ist, sondern vielmehr ein Muss. Denn wann ein neues, noch raffinierteres WannaCry oder Petya kommt, ist schließlich nur eine Frage der Zeit.

Doch was gehört zum effektiven Schutz eigentlich dazu? Zunächst einmal die „Hausaufgaben“: die PC-Arbeitsplätze durch regelmäßige Updates auf dem neuesten Stand halten, eine professionelle Firewall und automatisierte Malware-Scans einrichten sowie sensible Daten durch ein zuverlässiges Backup-System schützen. Dies ist aber nur die erste Verteidigungslinie gegen Cyberattacken. Zum professionellen Schutz gehört unter anderem auch ein umfassendes, langfristiges Patch- und Schwachstellen-Management dazu. Darüber hinaus wird ein weiterer wichtiger Baustein noch oft übersehen: Security Awareness.

Security Awareness: Kenne deinen Cyber-Feind

„Kenne deinen Feind und kenne dich selbst, und du wirst nie in Gefahr geraten.“ Dieses uralte Sprichwort von dem legendären chinesischen Kriegsstrategen Sunzi fasst das Prinzip hinter Security Awareness gut zusammen. Im Kontext der IT-Sicherheit im Unternehmen geht es also darum, Bewusstsein bei den IT-Verantwortlichen wie auch bei den Mitarbeitern für die Schwächen der eigenen IT-Infrastruktur zu schaffen und dafür, wie diese von Cyberkriminellen ausgenutzt werden könnten.

Selbst erfahrene Mitarbeiter sind vor speziell zugeschnittenen E-Mails mit schädlichem Inhalt, beispielsweise einem Word-Dokument mit einem Makro-Virus, nicht vollständig gewappnet. Ein permanentes Bewusstsein für aktuelle Phishingtechniken würden sie nicht auf solche E-Mails reinfallen lassen, und das gilt genauso für alle anderen Verbreitungsarten von Malware, Trojaner & Co. Wie lässt sich also Security Awareness bei den Mitarbeitern entwickeln? Die Antwort heißt: gezieltes Mitarbeiter-Coaching.

Auf Nummer sicher: Unser Hacking-Workshop

Seit etwa zwei Jahren bieten wir verschiedene Workshops für Unternehmen an, die Security Awareness unter den IT-Verantwortlichen und Mitarbeitern steigert. Besonders gute Erfahrungen machen wir mit unserem 4-Tages-Workshop „Pentesting-Grundlagen von IT-Sicherheit und Angriffstechniken“.

In diesem Hacking Workshop werden die Teilnehmer buchstäblich selber zu Hackern und penetrieren die IT-Sicherheitsarchitektur ihres Unternehmens mit Hilfe aktueller Techniken der Cyberkriminellen in einer speziellen Testumgebung. Für technisch versierte Mitarbeiter gibt es den Workshop auch in einer Fortgeschrittenen-Ausführung.

Das positive Feedback der Teilnehmer und unserer Kunden bestätigt die Bedeutung von Mitarbeiter-Coachings als fester Bestandsteil einer effektiven IT-Sicherheitsstrategie. Nicht zuletzt liegt es daran, dass die Workshops einen gewissen Spaßfaktor haben, der mit einem gewaltigen Lerneffekt einhergeht. Die Teilnehmer wissen hinterher, wie Cyberkriminelle vorgehen, wenn sie an sensible Unternehmensdaten ran wollen und welche Techniken sie dabei anwenden. Mehr noch: Sie werden besser einzuschätzen wissen, wie gut ihr Unternehmen tatsächlich geschützt ist und wo die Schwachstellen liegen. Genau aus diesen Erkenntnissen setzt sich schlussendlich Awareness zusammen — die im Nachgang das Unternehmen wie eine zusätzliche, immens effektive Firewall schützt.