Haben Sie sich jemals gefragt, wie Sie Benutzer in Cybersicherheits-Initiativen einbinden können? Cybersicherheit ist ein wesentlicher Bestandteil der Geschäftstätigkeit und Wettbewerbsfähigkeit einer Organisation. Eine Vernachlässigung kann im schlimmsten Fall den Betrieb vorübergehend unterbrechen oder sogar dauerhaft lahmlegen. Menschliches Fehlverhalten ist die Hauptursache für Cybersicherheitsvorfälle. Aber wie können Organisationen ihre Resilienz im Bereich der Cybersicherheit in Bezug auf die Benutzer verbessern und wie können diese dazu gebracht werden, sich zu beteiligen?
Schulungen in den Arbeitsalltag integrieren
In einigen Organisationen wird die Cybersicherheitsschulung immer noch so gehandhabt, dass im Rahmen der Einarbeitung neben anderem Einarbeitungsmaterial eine Reihe von Cybersicherheitsrichtlinien zum Lesen ausgehändigt werden und danach das Thema in keiner Weise mehr aufgegriffen wird. Bei einigen Mitarbeitern können bereits mehrere Jahre vergangen sein, seit sie zuletzt eine Schulung im Bereich Cybersicherheit erhalten haben. Auch die Richtlinien wurden möglicherweise seit der Erstellung der ersten veröffentlichten Version nicht mehr überprüft und enthalten somit veraltete Informationen.
Heutzutage gibt es viele verschiedene Cybersicherheitsschulungssysteme für Organisationen. Am beliebtesten sind Schulungssysteme, die um simulierte Phishing-Nachrichten herum aufgebaut sind und oft zusätzlich zu E-Mail-Phishing-Simulationsnachrichten kurze, kontinuierliche allgemeine Mikroschulungen zu verschiedenen Bereichen der Cybersicherheit enthalten. Das Kernprinzip dieser Systeme ist eine regelmäßige, kontinuierliche Schulung, damit die Inhalte nicht in Vergessenheit geraten und das Bewusstsein der Benutzer aufrechterhalten wird.
Matt Linton von Google schrieb vor einiger Zeit einen Blogbeitrag, der auch in Finnland für Schlagzeilen sorgte und in dem er die Nützlichkeit von E-Mail-Phishing-Nachrichtensimulationen kritisierte. Ich stimme ihm zu, dass Schulungen, bei denen Benutzern simulierte Phishing-Nachrichten ohne Berichtsfunktionen zugesandt werden, keine effektive Methode sind. Wenn ein Benutzer auf einen Link in einer Simulationsnachricht klickt, erhält er ein Cybersicherheitsschulungspaket und Missbilligung von der IT-Abteilung. Das ist keine optimale Art, Benutzer einzubeziehen. Systeme, die Berichtsfunktionen bieten und für die Berichterstattung belohnt wird, binden Benutzer in gemeinsame Cybersicherheitsbemühungen ein – sei es bei Übungssimulationen oder echten Phishing-Nachrichten.
Und was ist mit den eigenen Cybersicherheitsrichtlinien der Organisation?
Oft ist es so, dass die Cybersicherheitsschulungsmaterialien in SharePoint-Dokumentbibliotheken liegen und es keine Möglichkeit gibt zu verfolgen, welcher Benutzer die Materialien wann als gelesen bestätigt hat. Auch ist es fast ausnahmslos nicht möglich, die eigenen internen Schulungsmaterialien der Organisation in die oben genannten Phishing-Schulungssysteme zu integrieren.
Das finnische Softwareunternehmen Agendium hat eine hervorragende Lösung für dieses Problem. Ihr Produkt namens Digiturvamalli ist ein Cybersicherheits-Managementsystem, mit dem die Cybersicherheit in Organisationen umfassend verwaltet werden kann. Ein Teilbereich des Systems ist die Pflege, Veröffentlichung und Überwachung von Cybersicherheitsrichtlinien für die Benutzer der Organisation. Mithilfe des Systems bleiben die Richtlinien aktuell und können den Benutzern beispielsweise über Microsoft Teams zur Bearbeitung und Bestätigung bereitgestellt werden.
Woraus bestehen gute Cybersicherheitspraktiken aus Sicht der Benutzer einer Organisation?
- Engagement der Geschäftsleitung
- Die Implementierung einer Cybersicherheitskultur muss von der Geschäftsleitung ausgehen.
- Ohne echtes Engagement der Geschäftsleitung für die Cybersicherheit ist es sehr schwierig, eine erfolgreiche Cybersicherheitskultur in einer Organisation zu etablieren.
- Cybersicherheitsstrategie
- Identifizierung externer und interner Anforderungen an unsere Organisation.
- Systematische Umsetzung der Cybersicherheit, zum Beispiel durch die Einhaltung eines Rahmenwerks wie ISO27001, auch wenn dies nicht explizit von uns verlangt wird.
- Klare Begründungen und Erläuterungen für die Benutzer, warum Dinge getan werden und wie sie sich auf die Organisation und ihre Mitarbeiter auswirken.
- Einführung eines Cybersicherheits-Managementsystems
- Vereinfacht und unterstützt die Organisation bei der systematischen Entwicklung der Cybersicherheit.
- Kontinuierliche Mikroschulungen zu Phishing-Nachrichten und Cybersicherheit für Benutzer.
- Unterstützt Benutzer dabei, echte Phishing-Nachrichten zu erkennen und zu melden.
- Schafft kontinuierliches Bewusstsein für Cybersicherheit bei den Benutzern.
- Beteiligung der Mitarbeiter der Organisation an gemeinsamen Bemühungen zur Verbesserung der Cybersicherheit.
- Meldung von Cybersicherheitsvorfällen für Benutzer so einfach wie möglich gestalten.
- Belohnen, nicht bestrafen für die Teilnahme!
Klischee, aber wahr. Das Cybersicherheitsniveau einer Organisation ist nur so stark wie ihr schwächstes Glied. Und fast ausnahmslos ist das größte Risiko das menschliche Handeln. Durch die Einbeziehung der Benutzer in gemeinsame Cybersicherheitsbemühungen wird dieses Risiko erheblich reduziert.
Wir bei Above IT helfen Organisationen, eine erfolgreiche Cybersicherheitskultur zu schaffen. Kontaktieren Sie uns unten, um mehr zu erfahren!