IT-Security-Trainings in Unternehmen: Was müssen Mitarbeiter im Jahr 2020 wissen?
Entscheider für IT-Sicherheit wissen: Risiken in der IT-Sicherheit reduzieren und bestmögliche Cyber-Sicherheit gewährleisten – Das ist ein kontinuierlicher Prozess. Das gilt auch für die Aufklärung und Sensibilierung rund um IT-Sicherheit bei Mitarbeitern. Welche Themen und Inhalte müsssen Mitarbeiter im Jahr 2020 wissen, um die Cyber-Sicherheit in Unternehmen nicht zu gefährden?
Das Verhalten einzelner Mitarbeiter ist heute Erfolgsfaktor für die IT-Sicherheit der gesamten Organisation. Mitarbeiter sind die letzte Verteidigungslinie im Kampf gegen Cyber-Bedrohungen – im Fachjargon ist die Rede vom „Human Factor“. Jetzt ganz konkret: Was sollten Mitarbeiterinnen und Mitarbeiter in 2020 wissen, um sich in Bezug auf IT-Sicherheit am Arbeitsplatz korrekt verhalten zu können?
EU-DSGVO weiter relevant: Wie lernen Mitarbeiter, die DSGVO anzuwenden?
Schulung, Thema Datenschutz. Das klingt für Mitarbeiter bereits nicht ansprechend. Auf der einen Seite wächst zwar überall das Bewusstsein für Datenschutz. (Nicht zuletzt dank der der allgegenwärtigen Europäischen Datenschutzgrundverordnung.) Gleichzeitig sind Unternehmen weiter in der Pflicht, einfach, nachvollziehbar und vor allem praxisnah das notwendige Know-How rund um die EU-DSGVO in der Praxis auch zu vermitteln. Und das muss natürlich so effizient und wirkungsvoll wie möglich funktionieren.
Dafür ist es erforderlich, die Anwendung der DSGVO mit verständlichen Praxis-Situationen aus dem Alltag aufzuzeigen. Welche Funktionen und Abläufe innerhalb der Organisation sind betroffen? Welche Aspekte der täglichen Arbeit haben Berührungspunkte mit der DSGVO?
Konkret könnte so eine Lern-Einheit aussehen wie in diesem exemplarischen Schulungsinhalt. (Aus dem IT-Security-Trainings-Tool Proofpoint Security Awareness Training ):
Experten bestätigen regelmäßig: Rund 90 Prozent der Cybersicherheitsvorfälle beginnen mit einer einzigen E-Mail. Auch 35 Jahre nach der ersten E-Mail in Deutschland ist der Umgang mit E-Mails in Unternehmen weiterhin zentraler Baustein der Cybersicherheit. Das Problem: Mitarbeiter klicken auf alles, was man ihnen via E-Mail schickt. Simulierte Phishing-Angriffe, Tests und Assessments bestätigen dies immer wieder aufs Neue. Das Ziel sollte es daher sein, intensiv daran zu arbeiten, dass End-User die grundlegenden Bedrohungen der E-Mail-Kommunikation selbständig erkennen[forms ID=56]
Das richtige Urteil darüber, ob eine E-Mail legitim oder betrügerisch ist, wird immer mehr zu einer der wichtigsten Kompetenzen der digitalen Arbeitswelt.
Verhalten rund um E-Mail-Sicherheit: Wie erkennen Ihre Mitarbeiter E-Mail-Bedrohungen?
Angriffsvektor E-Mail im Posteingang: Das müssen Mitarbeiter definitiv wissen
Sie müssen kein Experte für Personalentwicklung sein, um zu wissen: Mal davon gehört haben ist das eine, sichere Anwendung das andere. Manch ein Punkt der nachfolgendne Liste mag banal klingen, ist aber dennnoch wichtig, immer wieder vor Augen zu führen und mit Mitarbeitern zu trainieren:
- E-Mail-Absenderinformationen: Ist der Absender tatsächlich der angegebene? Wie lässt sich dies überprüfen
- E-Mail-Betreffzeile: Ist bereits der Betreff verdächtig? Woran lässt sich dies fest machen?
- Fälschbarkeit von E-Mails: Ist ausreichend bekannt, wie einfach es ist, Inhalte (wie Unternehmens-Logos, das Corporate Design oder sogar die personalisierte Anrede) zu manipulieren?
- Eingebettete URLs oder Kontaktdaten in E-Mails: Wie erkennt man den Unterschied zwischen einem angezeigten Text im E-Mail-Inhalt und einer dahinterliegenden Verlinkung, etwa auf eine bösartige Webseite?
- Warnsignale und Hinweise in einer E-Mail erkennen: Was macht eine E-Mail verdächtig? Woran erkenne ich, dass etwas möglicherweise nicht passt? Und vor allem wie wird korrekt reagiert, wenn Unklarheiten aufkommen?
Für die einen gängiges Wissen im Alltag mit E-Mails, für die anderen unbekanntes IT-Fachwissen. So oder so: Der Umgang mit E-Mails bietet Fallstricke, die Cyberkriminelle häufig ausnutzen können. Einfach deswegen, weil Mitarbeiter unwissentlich E-Mail-Anhänge ungeprüfter Herkunft öffnen, unbekannte Links anklicken oder Anmeldeinformationen auf manipulierten Webseiten eingeben.
Sichere Nutzung des Internets: Wie surfen Mitarbeiter sicher am Arbeitsplatz?
Genau wie der Umgang mit E-Mails, ist auch die sichere Nutzung des Internets am Arbeitsplatz ein kritisches IT-Security-Thema. Das sichere Web-Browsing am Arbeitsplatz sollte in jedem Fall ein IT-Security-Lern-Inhalt für Mitarbeiter sein.
Für Kollegen mit IT-Kenntnissen ist es fast schon nicht mehr vorstellbar: Der allgemeine Kenntnisstand und das entsprechende Verhalten von Mitarbeitern in Bezug auf die Internetnutzung ist in der Regel in höchstem Maße alarmierend. Gravierende Defizite im Know-How rund um die sichere Internetnutzung sind keine Seltenheit.
Von der allgemeinen Unterscheidbarkeit von Internetseiten (etwa dem Aufbau und den Bestandteilen einer Domain) bis zum Typosquatting (dem gezielten Ausnutzen von Tippfehlern oder Buchstabendrehern, um täuschend echte Fake-Webseiten aufzusetzen) – die möglichen Risiken im Web sind immens.
Unsere Erfahrung: Die meisten Entscheider für IT-Sicherheit sind überrascht, wie stark ihre Organisation durch das Fehlverhalten einzelner Mitarbeiter im Alltag gefährdet ist.
In Summe gibt es etliche mögliche Stolperfallen im digitalen Arbeitsalltag. Gleichzeitig steigt auch die Geschwindigkeit, immer neue Themen erlernen zu müssen. Dies macht es für Unternehmen in der IT-Sicherheit unverzichtbar, effiziente Ansätze für fortlaufendes Lernen rund um IT-Sicherheit zu etablieren. Die reibungslose und effiziente Umsetzbarkeit in der Praxis entscheidet über den Erfolg im Bereich IT-Security-Awareness.
Ursprünglich aus einem der größten US-amerikanischen Forschungsprojekte zur Bekämpfung von Phishing-Angriffen (2008, Carnegie Mellon University) hervorgegangen, istProofpoint Security Awareness Training (zuvor: Wombat Security) heute weltweit Marktführer im Bereich der wirkungsvollen IT-Security-Trainings in Unternehmen.
Bereits sechs Jahre in Folge als„Leader“ im Gartner Magic Quadrant bewertet, steht die interaktive web-basierte Lern-Plattform mit dem Prinzip der Continuous Learning Methodology für einen zukunftsweisenden Ansatz: Der Mensch rückt in den Fokus der IT-Sicherheitsstrategie. Das Wissen und Verhalten der Mitarbeiter entscheidet.
Gerne stellen wir Ihnen die interaktive Oberfläche vor: im kostenlosen Online-Hands-On . Melden Sie sich jetzt an: Sie erhalten von uns einen Link zur Web-Oberfläche von Proofpoint Security Awareness Training. Ein Kollege aus dem CYQUEO-Team stellt Ihnen die Plattform und die einzigartige Methode vor, parallel dazu können Sie sich selbständig durch die Lern-Module klicken.
Jetzt ausprobieren
PS: Die skizzierten Themen DSGVO, E-Mail- und URL-Training sind drei von insgesamt 35 Lern-Modulen von Proofpoint Security Awareness Training.