Die IT-Kriminalität nimmt zu, Verbrecher und Hacker werden immer gefährlicher und ideenreicher. Unternehmen tun also gut daran, die Sensibilität bei den Mitarbeiter:innen zu erhöhen.
Die Zahlen sprechen für sich. Durch Diebstahl, Spionage und Sabotage entsteht der deutschen Wirtschaft jährlich ein Gesamtschaden von 223 Milliarden Euro. Damit haben kriminelle Attacken erneut für Rekordschäden gesorgt: Die Schadenssumme ist mehr als doppelt so hoch wie in den Jahren 2018/2019, als sie noch 103 Milliarden Euro pro Jahr betrug. 88 Prozent der Unternehmen waren 2020/2021 von Angriffen betroffen. In den Jahren 2018/2019 wurden drei Viertel (75 Prozent) Opfer. Das sind Ergebnisse einer repräsentativen Studie des Digitalverbands Bitkom.
Die Praxis zeigt: Die Bedrohungslagen werden immer massiver, und Kriminelle entwickeln immer neue Methoden, um sich im Netz zu bereichern oder um an sensible Daten zu gelangen. Immer häufiger ist das Vorgehen, mittels Ransomware zentrale Systeme zu verschlüsseln. „Der Begriff Ransomware steht für eine Art von Schadprogrammen, die den Zugriff auf Daten und Systeme einschränken oder unterbinden. Für die Freigabe wird dann ein Lösegeld (englisch: Ransom) verlangt. Entweder sperrt ein solches Schadprogramm den kompletten Zugriff auf das System oder es verschlüsselt bestimmte Nutzerdaten. Besonders verbreitet ist Ransomware, die sich gegen Windows-Rechner richtet. Prinzipiell aber können alle Systeme von Ransomware befallen werden“, beschreibt das Bundesamt für Sicherheit in der Informationstechnik (BSI).
Unter Phishing wiederum versteht man Versuche, sich über gefälschte Webseiten, E-Mails oder Kurznachrichten als vertrauenswürdiger Kommunikationspartner in einer elektronischen Kommunikation auszugeben. Phishing steht am Anfang verschiedenartiger Delikte, die vom einfachen Datendiebstahl über illegale Kontoabbuchungen bis hin zu Angriffen auf kritische Infrastrukturen reicht.
Was können Unternehmen also tun, um dieser Gefahr Herr zu werden? Effektiver Schutz ist schwierig, denn: Das größte Sicherheitsrisiko stellen oft die eigenen Mitarbeitenden dar. Ohne es zu bemerken, können sie auf die hinterhältigen Tricks der Online-Betrüger hereinfallen. Die Folge sind immense Schäden für die Unternehmen. Unternehmen tun also gut daran, die Sensibilität bei den Mitarbeiter:innen zu erhöhen. Der Kernbegriff ist Awareness!
Das BSI schreibt dazu: „Im alltäglichen Umgang mit IT-Systemen ist Awareness eine elementare Sicherheitsmaßnahme. Das bedeutet zunächst, dass ein Problembewusstsein für Cyber-Sicherheit geschaffen werden muss. Darauf aufbauend kann man eine Verhaltensänderung hin zu sicherem digitalem Umgang erreichen. Security Awareness Maßnahmen sind dann erfolgreich, wenn sie die Zielgruppen befähigen und den einzelnen Menschen für mehr Cyber-Sicherheit motivieren. Es ist wichtig, Awareness auf Augenhöhe und praxisnah zu entwickeln.“
Awareness bedeutet, Führungskräfte und Mitarbeiter:innen ausreichend präventiv auf Gefahrenlagen vorzubereiten und dafür zu sensibilisieren. Das gelingt nur über die konsequente und qualifizierte Fortbildung von Mitgliedern einer Organisation in der Cyber-Sicherheit. Das gelingt am ehesten über entsprechende Security-Awareness-Training. Diese helfen dabei, die durch Mitarbeiter:innen verursachten Gefahren für die IT-Sicherheit zu minimieren.
Zu einer erfolgreichen Awareness-Kampagne gehören regelmäßige Online-Schulungen zur Cyber- und Informationssicherheit. Wichtig ist, die Mitarbeiter:innen mit den richtigen Themen und professionellem und attraktivem Storytelling anzusprechen. Das erleichtert die Zugänge für Mitarbeiter:innen über alle Hierarchieebenen hinweg und stellt sicher, dass die Inhalte wirklich verstanden und verankert werden. Im Fokus stehen hochwertige audiovisuelle Aufbereitung und eine praxisnahe, interaktive Unterhaltung mit didaktischem Anspruch. Education im Jahr 2022 ist immer auch Entertainment!
Auf diese Weise zeigen Online-Schulungen echte Wirkung durch eine gute und authentische Aufbereitung der Themen. So kann nicht nur komplexes Wissen vermittelt, sondern auch jeder Lerntyp in einem Unternehmen angesprochen werden. E-Learnings helfen als Einstieg in die Vertiefung der Thematik und können Mitarbeiter:innen dazu anregen, die Bedeutung von Security-Awareness-Trainings wirklich zu erkennen und für die Praxis zu adaptieren.