Laut Statista wird der Umsatz im "Professionelle-Cybersecurity-Services"-Markt dieses Jahr in Deutschland etwa 2,75 Mrd. Euro betragen, die durchschnittlichen Ausgaben je Arbeitnehmer voraussichtlich 59,10 Euro. Sensibilisierung und regelmäßige, jährliche Schulungen sind sicherlich probate Mittel, um Mitarbeiter auf Angriffe vorzubereiten. Doch um den eskalierenden und komplexer werdenden Bedrohungen zu begegnen, reichen die in Unternehmen eingesetzten Schulungsprogramme zur Cybersicherheit nicht mehr aus. Auch die Geschwindigkeit, mit der sie sich entwickeln, schließt einen jährlichen Turnus praktisch aus.
Alleine im letzten Jahr war es eher unwahrscheinlich, dass Organisationen, die eine Schulung im März durchgeführt haben, über GenAI gesprochen haben. Allerdings erschien das Thema zu dieser Zeit plötzlich auf der Bildfläche. Von April bis September gab es einen enormen Anstieg bei der Nutzung von GenAI-Diensten, danach stagnierte die Entwicklung zwar wieder. Aber wer seine Schulung im ersten Halbjahr hatte, hat diese Entwicklung verpasst. Leider ist es in vielen Unternehmen so, dass die jährliche Schulung zum Thema Cybersicherheit üblicherweise erst stattfindet, wenn es schon ein bisschen zu spät ist und Angreifer bereits Wege ins Unternehmen gefunden haben.
Einbindung in die tägliche Arbeit
Üblicherweise hören sich die Mitarbeiter zu einer bestimmten Zeit im Jahr ein computergestütztes Trainingsprogramm an, das ihnen sagt, worauf sie achten müssen. Das jährliche Sensibilisierungstraining ist in großen Unternehmen Pflicht. Oft betrachtet als zeitraubend und uninteressant, klicken die meisten Mitarbeiter schnell weiter und lesen Texte nur flüchtig, um möglichst schnell das Abschlusszertifikat zu erhalten.
Allerdings würde die Einbindung der Cybersicherheit in die tägliche Arbeit die Mitarbeiter wesentlich effizienter auf bestehende und neue Bedrohungen vorbereiten. Das Prinzip ist ähnlich dem von Verkehrsschildern. Wenn man sich das Verhalten der Menschen im Straßenverkehr anschaut, stellt man fest, dass Autofahrer auf herkömmliche Verkehrszeichen meistens nicht besonders achten. Verkehrsschilder mit Radarsystemen, die den Fahrern ihre Geschwindigkeit anzeigen, sind nachweislich wirksamer, um das Tempolimit einzuhalten und die Geschwindigkeit zu verlangsamen.
Der Faktor Mensch
IT-Sicherheit in Unternehmen beginnt bei den Mitarbeitern. Wissen sie, wie Angreifer vorgehen, erkennen sie deren Tricks eher und fallen nicht auf sie herein. Hinsichtlich der Cybersicherheit sollten Unternehmen ihre Schulungen daher um eine stärker menschenzentrierte Prävention ergänzen. Der Mensch ist aufgrund seines geringen Risikobewusstseins eine der größten Schwachstellen beim Thema Cybersicherheit.
Wir müssen Mitarbeitern beispielsweise zeigen, welche Handlungen ein Risiko für die Organisation oder für sie selbst darstellen. Diese Gefahren müssen wir in einer Art Popup-Banner in Echtzeit darstellen und ihnen sagen: „Hier besteht ein hohes Risiko. Wir empfehlen Ihnen, nicht fortzufahren.“ Gleichzeitig sollten wir ihnen dann eine Alternative anbieten. Wenn jemand beispielsweise im Begriff ist, streng vertrauliche Informationen in ChatGPT einzutippen, könnte dies der perfekte Zeitpunkt für ein Popup sein, in dem steht: „Wir werden Sie daran hindern, diese Informationen hier einzugeben.“
Fazit
Lange Zeit haben Unternehmen sich vor allem mit technischen Möglichkeiten vor Cyberangriffen geschützt. Doch auch die Sensibilisierung der Mitarbeiter spielt für den Schutz des Unternehmens eine zentrale Rolle. Wachsamkeit, Echtzeit-Bewusstsein und Echtzeit-Schulung sollten die Eckpfeiler aller Cybersicherheit-Trainings sein, denn viele Datenschutzverletzungen sind auf eine falsche Entscheidung zurückzuführen. IT-Sicherheit sollte in der Unternehmenskultur verankert sein und jeder Mitarbeiter in der Verantwortung stehen – nicht nur IT-Teams und das Management.
