Weltweit hat das Bewusstsein von Mitarbeitern um die Risiken im Cyberspace zugenommen. Zu diesem – auf den ersten Blick erfreulichen – Ergebnis kommt der in diesem Januar veröffentlichte 2019 State of the Phish Report von Proofpoint. Doch dürfte es, so die zentrale These der Studie, noch geraume Zeit dauern, bis Organisationen ihre Mitarbeiter auch aktiv in die Abwehr von Cyberangriffen integrieren können – eine echte Schwachstelle der derzeitigen IT-Sicherheit.
Denn Organisationen können sich noch so viele Sicherheitslösungen zulegen. Einem gewissen Prozentsatz der Angreifer wird es, unter Zuhilfenahme des sich laufend erweiternden Angebots an Malware und Social Engineering-Methoden, immer wieder gelingen, ihre Abwehr zu durchbrechen. Wollen Organisationen dieses Risiko minimieren, hilft ihnen nur, ihre Mitarbeiter mit einem grundlegendem Basiswissen über die Risiken des Cyberspace auszustatten. Ist das Risikobewusstsein der Mitarbeiter nämlich erst einmal angehoben, reduziert sich im Gegenzug auch automatisch das Risiko der Organisation, Opfer eines Cyberangriffs zu werden – und dies nachhaltig.
Doch verfügen derzeit nur wenige – zu wenige – Mitarbeiter über das hierzu erforderliche Basiswissen. In der Proofpoint-Studie waren Mitarbeitern einige grundlegende Verständnisfragen zu den derzeitigen Risiken des Cyberspace gestellt worden. Die Antworten fielen ernüchternd aus. So scheiterte ein erheblicher Prozentsatz der Befragten selbst an der Definition von Angriffsszenarien, die bereits seit Jahren im Einsatz sind – ganz zu schweigen von den neuesten Angriffsmethoden:
- 34% - Was ist Phishing?
- 55% - Worum handelt es sich bei Ransomware?
- 77% - Was ist Smishing?
- 81% - Was ist Vishing?
Organisationen tun deshalb gut daran, das mangelnde Verständnis ihrer Mitarbeiter um die Risiken des Cyberspace stärker als bislang in ihre Sicherheitsüberlegungen mit einzubeziehen. Denn wenn die eigenen Mitarbeiter nicht den Bedrohungen des Cyberspace gewachsen sind, wird auch die Organisation als Ganzes rasch zu einer leichten Beute für Cyberkriminelle werden.
Wollen Organisationen nun tatsächlich versuchen, das Mitarbeiter-Verständnis von den Risiken des Cyberspace anzuheben, kommen sie um eine regelmäßige Durchführung von Security Awareness Trainings und Phishing Tests nicht herum. Schulungseinheiten vermitteln ihren Mitarbeitern Bewusstsein und grundlegende Fähigkeiten, verdächtige Emails, Dokumente und Webseiten frühzeitig zu erkennen – noch bevor ein Schaden entsteht. Über die begleitenden Testreihen erhalten die Organisationen dann ein Feedback, das es ihnen ermöglicht, das Risikoverhalten ihrer Mitarbeiter zu analysieren, die schwächsten Glieder ihrer Sicherheitskette zu erkennen und diese durch weitere Schulungseinheiten zielgerichtet zu stärken.
Derzeit bewegt sich das Verständnis der Mitarbeiter für die Risiken des Cyberspace, denen sie täglich an ihrem Posteingang und in ihrem Webbrowser ausgesetzt sind, noch auf einem niedrigen Niveau. Mit der kontinuierlichen Schulung ihrer Mitarbeiter werden Organisationen das Risiko, Opfer eines Cyberangriffs zu werden, deshalb noch einmal deutlich reduzieren können.
