Mit Sicherheitstrainings das Risikopotenzial für Cyberangriffe verringern

Im zweiten Halbjahr 2021 wurden dem Nationalen Zentrum für Cybersicherheit (NCSC) 11 480 Cybervorfälle gemeldet – die Dunkelziffer dürfte um einiges höher liegen. In den meisten Fällen nutzen Cyberkriminelle dabei menschliche Schwächen aus, indem sie gezielt an die Neugier der Empfängerinnen und Empfänger appellieren oder deren Befürchtung ausnutzen, wichtige Informationen oder Ereignisse zu verpassen. Doch auch gross angelegte Attacken in Form von Spear Phishing oder Advanced Persistent Threat Attacks, die sich gezielt gegen bestimmte Personen, Organisationen oder kritische Infrastrukturen richten, stellen eine grosse Bedrohung für Unternehmen dar.

Sensibilisierung muss auch im Homeoffice stattfinden

Umso wichtiger ist es, dass Unternehmen ihre Mitarbeitenden für solche Gefahren sensibilisieren und über deren Merkmale aufklären. Dazu gehört das Erkennen von Phishing-Mails unter anderem anhand des Absenders (meist externe, verdächtige Mailadressen) oder der Nachricht (oft angebliche Zahlungsverzüge, Drohungen oder Angebote und Versprechen mit knapper Frist). Oft wird das vermittelte Wissen dann anhand interner Phishing-Kampagnen geprüft.

In Zeiten von Homeoffice reicht eine blosse Sensibilisierung im Unternehmen allein aber nicht mehr aus. Gerade, wenn Mitarbeitende mit ihren privaten Geräten auf Unternehmensdaten zugreifen, eröffnen sich für Cyberkriminelle neue Angriffspunkte. Regelmässige Schulungen zum korrekten Verhalten zuhause sowie zum Schutz des privaten Netzwerks sind daher heute nicht mehr wegzudenken. Durch das Aufzeigen der Risiken, die sich aus der Vermischung von Beruflichem und Privatem ergeben, erhöht sich bei vielen Personen automatisch die Aufmerksamkeit und das Verantwortungsbewusstsein.

Unternehmen können passende Sicherheitstrainings auch bei externen Anbietern einkaufen. Gerade für KMUs ist dies eine wichtige Option, da bei ihnen die Cyber-Awareness aufgrund fehlender Ressourcen meist weniger stark ausgeprägt ist als bei grossen oder regulierten Unternehmen. Für sie ist die Eigenverantwortung der Mitarbeitenden daher essenziell.

Mit Security by Design zu mehr Sicherheit

Generell muss das Sicherheitsdenken in die DNA der Mitarbeitenden übergehen. Mit der Zunahme von Cyberangriffen wird auch Security by Design – die Berücksichtigung grundlegender Sicherheitsaspekte in der Entwicklung von Softwareprodukten und -funktionen – immer relevanter. Eine umfassende Schulung der IT-Fachkräfte trägt dabei massgeblich zur Stärkung dieses Sicherheitsansatzes bei.

Für IT-Fachleute bedeutet dies, Sicherheitsanforderungen fix in den Software-Development-Lebenszyklus zu integrieren und gerade auch in cloudbasierten Anwendungen zu verankern. So kann sichergestellt werden, dass Cybersicherheit beim ersten Release in die Produktion bereits integriert ist. Um dies zu ermöglichen, muss das involvierte Personal (Applikationsentwickler, Ingenieure, Scrum-Masters) entsprechend trainiert und geschult werden.

Letztlich steht und fällt die Sicherheit eines Unternehmens mit seinen Mitarbeitenden. Regelmässige und umfassende Sicherheitstrainings für alle Mitarbeitende können dabei helfen, ein Verständnis für sicherheitsrelevante Aspekte zu schaffen und potenzielle Risiken zu minimieren.