Auch wenn es wirklich nichts neues ist, daß „Awareness“ wichtig ist, so muss doch häufig daran erinnert werden, weil immer noch zu wenig getan wird.
Das Thema „Wissen“ und „Bewusstsein“ spielt eine zentrale Rolle in der Cybersicherheit und ist essenziell für den Schutz eines Unternehmens vor Cyberangriffen.
Der „gesunde Menschenverstand“ ist bei der Vermeidung von Angriffen eine große Hilfe, wenn ungewöhnliches Verhalten zu beurteilen ist und eine gesunde Skepsis bei allzu zu guten Angeboten oder Appellen an Hilfsbereitschaft hilft. Aber Wissen und Verhalten müssen trainiert und gefördert werden.
Das Thema wird auch auf einer internationalen Veranstaltung intensiv diskutiert, zu der wir mit Blick auf NIS2 und DORA sowie KI einen Beitrag leisten dürfen.
Im Fadenkreuz
Rund 90 % (lt. “Cloudflare“) der weltweiten Cyberangriffe beginnen mit Phishing, einer der effektivsten Methoden für Cyberkriminelle, um Zugang zu vertraulichen Informationen zu erhalten. Phishing-Angriffe zielen dabei häufig auf Personen, indem sie Social Engineering-Techniken nutzen, um Nutzer zur Preisgabe von Passwörtern oder anderen sensiblen Informationen zu bewegen. Die meisten Angriffe erfolgen also über den Faktor Mensch und er ist das schwächste Glied in der Sicherheitskette!
Das ist Grund genug, um mit Fokus auf die Mitarbeiter aktiv zu werden und darauf ausgerichtete Unternehmen - darunter internationale Spezialisten wie „KnowBe4“ und der nationale Experte „SoSafe“ - bieten spezielle und auf den Kunden anpassbare Awareness-Trainings an, die darauf abzielen, Mitarbeiter für Bedrohungen zu sensibilisieren und das richtige Verhalten im Umgang mit IT-Systemen zu fördern. Diese Trainingsprogramme sind daher von großer Bedeutung. Aber es braucht auch eine dauerhafte Aufgabe, eine Schulung im Jahr ist sicher nur ein Minimalziel in einem sich ständig ändernden Umfeld mit täglichen Bedrohungen. Stellen Sie sich selbst die Frage: Erinnern Sie sich noch an die Schulungsinhalte von 2023?
Kultur
Auch kulturelle Aspekte sind zu beachten, die das Verhalten von Personen betreffen. So zeigt eine Kaspersky-Studie, dass Zugpendler ein erhebliches Sicherheitsrisiko für Geschäftsinterna darstellen. Rund 66 % der befragten Pendler beobachten bewusst Bildschirme oder lauschen Gesprächen, wobei sensible Daten wie Budgets und Kundennamen aufgeschnappt werden können. Hier sind beide Parteien zu kritisieren, einerseits sollten keine vertraulichen Informationen transportiert werden und die Neugier des Sitznachbarn ist zwar menschlich, aber die Daten des Nachbarn gehen niemand etwas an. Sensibilisierung und präventive Maßnahmen wie Sichtschutzfolien sind unverzichtbar.
Im „Human Risk Review 2024“ von SoSafe werden mehrere wichtige Erkenntnisse zum menschlichen Faktor in der Cybersicherheit hervorgehoben. Der Bericht zeigt, dass 74 % der Mitarbeiter Schwierigkeiten haben, sichere von unsicheren Verhaltensweisen im Internet zu unterscheiden. Zudem gibt ein Drittel der Mitarbeiter zu, Sicherheitsrichtlinien zu umgehen, wenn sie als hinderlich für die Produktivität empfunden werden, was die Sicherheitslücken in Organisationen verschärft.
Diese Ergebnisse unterstreichen die Notwendigkeit, von traditionellen Compliance-basierten Schulungen zu einem stärker verhaltensorientierten Ansatz zu wechseln, um das menschliche Risiko zu minimieren. Insbesondere DORA und NIS2 erfordern Schulungen, um den sorglosen Umgang mit Informationen zu verhindern, was durch Anbieter wie „SoSafe“ oder „KnowBe4“ unterstützt wird.
Wir wollen kurz auf die Zusammenhänge zwischen Awareness, Informationssicherheitsmanagementsystemen (ISMS) und Regulatorik (NIS2, DORA) eingehen:
Awareness im ISMS (Information Security Management System)
Ein ISMS setzt systematische Maßnahmen zum Schutz von Informationen um, wobei das Bewusstsein der Mitarbeiter ein zentraler Bestandteil ist. Die Schulung der Anwender ist eine präventive Maßnahme, um Risiken zu reduzieren. Mitarbeiter-Trainings sind im ISMS fest verankert und tragen dazu bei, dass alle im Unternehmen die Sicherheitsrichtlinien verstehen und umsetzen.
Awareness in der NIS2-Richtlinie
Die NIS2-Richtlinie (Network and Information Security) der EU fordert ein höheres Sicherheitsniveau für Betreiber kritischer Infrastrukturen. Ein effektives Awareness-Training hilft Organisationen, die Anforderungen der NIS2 zu erfüllen, indem es sicherstellt, dass Mitarbeiter in der Lage sind, Cyberbedrohungen zu erkennen und abzuwehren. Die Richtlinie verlangt zudem Informationsicherheitskenntnisse von Führungskräften und unter anderem Schulungen, um sicherzustellen, dass Personal auf Vorfälle vorbereitet ist und adäquat reagiert.
Awareness in der DORA-Verordnung
Der Digital Operational Resilience Act (DORA) zielt speziell auf die Cybersicherheit und Widerstandsfähigkeit im Finanzsektor ab. Auch hier spielt das Mitarbeiterbewusstsein eine wichtige Rolle, da viele Vorfälle im Finanzbereich durch menschliche Fehler verursacht werden. DORA verlangt, dass Unternehmen regelmäßige Cybersicherheitsschulungen für Mitarbeiter bereitstellen, um die operative Widerstandsfähigkeit zu stärken.
Kultur der Sicherheit und Verantwortung
Awareness-Programme tragen dazu bei, eine Sicherheitskultur im Unternehmen zu etablieren, in der alle Mitarbeiter die Bedeutung von Cybersicherheit verstehen und Verantwortung übernehmen. Diese Kultur unterstützt nicht nur die Einhaltung von ISMS-Richtlinien, sondern ist auch entscheidend für die Erfüllung von NIS2- und DORA-Anforderungen, die auf organisatorische Sicherheit und Risikomanagement abzielen.
Fazit
Die Sensibilisierung der Mitarbeiter muss ein integraler Bestandteil einer umfassenden Cyberabwehrstrategie sein, er kann durch spezialisierte Trainingsanbieter vorbildlich unterstützt werden. Denn die Programme von Anbietern wie „SoSafe“ und „KnowBe4“ sind darauf ausgerichtet, diese Gefahren zu simulieren und zu testen, wie gut Mitarbeiter auf solche Bedrohungen reagieren können. Diese Schulungen stärken die allgemeine Cybersicherheitskultur im Unternehmen und sollten integraler Bestandteil eines ISMS sein, sie spielen eine entscheidende Rolle bei der Einhaltung von NIS2 und DORA, indem sie sicherstellen, dass Menschen die erste Verteidigungslinie gegen Cyberbedrohungen bilden können und gleichzeitig die organisatorische Resilienz stärken.
Die beste Firewall nützt nichts, wenn die Mitarbeiter als Einfallstor leicht zu überwinden sind!
Gehen Sie das Thema an, gerne gemeinsam mit unsrer Unterstützung!
Vereinbaren Sie ein kostenloses Strategiegespräch: https://www.opexaadvisory.de/discovery-call
Comments