Cyber Security: Die 7 wichtigsten Schulungsthemen für KMU-Mitarbeiter

Cyber Security | Managed IT Services für KMU | Zürich

Mit steigender Sicherheit der IT-Infrastruktur in Unternehmen geraten zunehmend die Mitarbeitenden ins Visier von Cyberkriminellen. Über eine wachsende Anzahl Phishing E-Mails und Scams (betrügerische E-Mails, falsche Social-Media- oder Webseiten) wird versucht, an vertrauliche Informationen des Unternehmens oder an bestimmte Geldsummen heranzukommen.


Die immer raffinierteren Methoden, die von Cyberkriminellen angewendet werden, führen in zunehmendem Mass zum Erfolg der Delinquenten – mit gravierenden Konsequenzen für das Unternehmen: Daten gehen verloren oder werden mit schädlicher Ransomware verschlüsselt und somit unbrauchbar.

Trotz dieser Tatsache gehen zahlreiche KMU von falschen Annahmen aus, wenn es um ihre IT-Sicherheit (Cyber Security) geht. Insbesondere nimmt man leichtfertig an, dass das Personal schon weiss, wie es sich zu verhalten hat um die Sicherheit der IT-Infrastruktur nicht zu gefährden. Tatsächlich wird es aber versäumt, das Sicherheitsbewusstsein der Mitarbeiter so zu fördern, dass sie potenzielle IT-Risiken wirklich wahrnehmen und einordnen können. Sie sind daher ein beliebtes Ziel für Angreifer. Einer Umfrage von SolarWinds zufolge, sind 68% aller Verletzungen der Cyber Security in Regierungsorganisationen der USA auf menschliches Fehlverhalten zurückzuführen. Oft geschieht dies im Unwissen der Nutzer um die von ihnen eingegangenen IT-Risiken und damit ohne Einschätzung der Tragweite ihres Handelns.

Es gilt daher, die Mitarbeitenden als häufigste Nutzer der unternehmensweiten IT mit geeigneten Massnahmen für die Sicherheitsrisiken zu sensibilisieren und ihnen klare Handlungsanweisungen zu vermitteln. Deutlich vermindert werden die Risiken dann, wenn zusätzlich zu den technischen Massnahmen, die Mitarbeitenden regelmässig im Umgang mit Cyber Security geschult werden. Bei derartigen Schulungen sind folgende Sicherheitsthemen von Bedeutung:

Schulungsthema #1: Phishing-Attacken identifizieren

Mitarbeitende sollen in der Lage sein, verdächtige E-Mails oder Websites selbständig zu erkennen, bevor sie auf einen betrügerischen Link klicken, eine schädliche Software herunterladen oder falsche Updates und Treiber installieren

Schulungsthema #2: Datendiebe erkennen 

Auf Anfragen per Telefon oder E-Mail, die vertrauliche Informationen des Unternehmens abschöpfen wollen, sollen die Mitarbeitenden nicht eingehen. Dies gilt für Firmengeheimnisse ebenso wie für Geschäftsergebnisse, Mitarbeiter- oder Kundendaten sowie für Log­in-Informationen. Auch persönliche Daten sollen nicht unbesonnen preisgegeben werden. Auf kluge Weise versuchen Datendiebe, sich als Mitarbeiter oder Geschäftspartner auszugeben und so das Vertrauen zu gewinnen. Die Mitarbeitenden sollen in der Lage sein, solche Versuche frühzeitig zu erkennen und jeden Verdacht an die IT-Abteilung oder den externen IT-Partner zu melden.

Schulungsthema #3: Passwortregeln beherrschen

Schwache Passwörter stellen eines der gravierendsten Sicherheitsrisiken dar. Die Mitarbeitenden sollen die Kriterien eines starken Passwortes kennen und die entsprechenden Regeln des Unternehmens umsetzen.

Schulungsthema #4: Öffentliche Plattformen mit Vorsicht nutzen

Die Mitarbeitenden sollen auf die Risiken und Verhaltensweisen im Umgang mit Social Media, Foren, Newsgroups sensibilisiert werden. Sämtliche Kommunikation, die über solche Kanäle stattfindet, darf keine sensitiven Informationen enthalten, die direkte oder indirekte Rückschlüsse für den Zugriff auf die IT-Infrastruktur zulassen. Dies gilt es auch bei Gesprächen oder bei Telefonanrufen in physischen öffentlichen Räumen (z.B. in öffentlichen Verkehrsmitteln, Restaurants, Hotels etc.) zu beachten.

Schulungsthema #5: Sicher im Internet surfen

Damit sich die Mitarbeitenden risikofrei im Internet bewegen, müssen sie mit den wichtigen Vorsichtsmassnahmen vertraut sein und diese im Alltag umsetzen können. Animierte Bilder und Schriften, Webformulare für Online-Bestellungen oder Werbebanner werden teilweise mit Tools wie ActiveX Controls und JavaScript realisiert. Über diese werden oft schädliche Handlungen an der IT-Infrastruktur des Besuchers vorgenommen. Die Mitarbeitenden sollen Kenntnis darüber haben, wie sie diese und weitere Instrumente in ihrem Internet-Browser bei Bedarf einschränken oder wen sie im Zweifelsfall kontaktieren können .

Schulungsthema #6: Clean Desk Policy anwenden

Sämtliche Mitarbeitenden sollen die Risiken am physischen Arbeitsplatz kennen und die Richtlinien der unternehmensweiten Clean Desk Policy verstehen und anwenden können.

Schulungsthema #7: Verdachtsmomente melden

Mitarbeitende sind darauf zu sensibilisieren, verdächtige Aktivitäten stets umgehend der IT-Abteilung oder dem externen IT-Partner zu melden. Je früher fragwürdige Vorfälle bekannt sind, desto wirkungsvoller können die IT-Spezialisten entsprechende Gegenmassnahmen ergreifen.

Aufgrund der sich laufend ändernden IT-Risikosituation ist es wichtig, die Schulung zur Cyber Security nicht nur einmalig durchzuführen, sondern sie zu einem fixen Bestandteil des Personal-Fortbildungskonzepts zu etablieren und wiederkehrend umzusetzen. Auch sind neu ins Unternehmen eintretende Mitarbeitende zu berücksichtigen, damit sie sich im Rahmen ihres Einführungsprogramms rasch den sicheren Umgang mit der IT-Infrastruktur aneignen.

  Personal als IT-Risikofaktor - erhöhte IT-Sicherheit und Cybersecurity durch risikobewusstes Verhalten der Mitarbeitenden | care4IT | Managed IT Services | Zürich

Titelbild: Shutterstock 

Themen: IT-Sicherheit, Cyber Security
Autor: Philipp Hollerer | 11. Januar 2018 | 16:51



Besuchen Sie mich auf:

IT-Blog für KMU abonnieren und auf dem neuesten Stand bleiben