Gastbeitrag von SoSafe-Chef Niklas Hellemann

Der Mensch? Die wichtigste Firewall!

Der Mensch ist das größte IT-Sicherheitsrisiko – auch weil Mitarbeiter entsprechende Richtlinien nicht ernst genug nehmen. Wie es anders geht, erklärt SoSafe-Geschäftsführer Niklas Hellemann.

02.01.2020

Die wenigsten Cyberangriffe auf Unternehmen starten mit einem menschlichen Fehler. Die meisten Mitarbeiter stehen morgens auf und informieren sich als Erstes über die neue IT-Sicherheitsrichtlinie. Nachhaltig wirksame IT-Schulungsmaßnahmen sind zeitaufwendig und teuer. Glauben Sie nicht? Zu Recht! Dennoch scheinen viele Unternehmer solche Thesen tatsächlich für wahr zu halten.

Das ist in Zeiten zielgerichteter Hackerangriffe und Ransom-Ware-Epidemien aber hochgradig gefährlich. Denn es erwachsen zu viele Gefahren aus dem laxen Umgang mit Passwörtern, dem unachtsamen Klicken auf Links oder der unbedachten Nutzung -infizierter Datenträger. So beginnen über 90 Prozent aller erfolgreichen Cyberangriffe auf Firmen mit einer Phishing-Mail. „Jeder sechste Beschäftigte würde auf eine gefälschte E-Mail aus der Unternehmensleitung antworten und sensible Unternehmensinformationen preisgeben“, schlussfolgert eine Studie des Bundesamts für Sicherheit in der Informationstechnik.

Jeder sechste Beschäftigte würde auf eine gefälschte E-Mail aus der Unternehmensleitung antworten und sensible Unternehmensinformationen preisgeben.

IT-Sicherheit sexy machen

Ein Kernproblem: IT-Sicherheit ist nicht sexy. Die Materie gilt als komplex; Merkblätter über Domain-Squatting, URL-Entschlüsselung oder VPN-Verbindungen stoßen bei den meisten Mitarbeitern eher auf Widerstand als auf Gehör. Links rein, rechts raus eben. Genau deshalb müssen Trainingsmaßnahmen modern, schlagkräftig und kontinuierlich sein, um wirklich wirksam zu sein.

Doch wie schafft man es, das Verhalten der Mitarbeiter nachhaltig zu ändern? Der Mensch als Gewohnheitstier ändert seine Routinen schließlich nicht auf Knopfdruck. Dabei kann man sich bei Methoden der Lernpsychologie bedienen. Beispiel: inzidentelles Lernen, auch Lernen am Objekt genannt. Woran erkennt man schadhafte E-Mails? Einfach diese den Mitarbeitern direkt in deren Posteingang zeigen. Oder Gamification: Wenn Mitarbeiter das fünfseitige PDF mit den Richtlinien nicht lesen, sollten diese etwa in ein kurzes Video mit Quiz gepackt werden. Oder individuelle Lernpfade: Nicht alle haben den gleichen Wissensstand; manche lernen schneller, andere langsamer. Warum jeden in die gleiche Taktung zwängen, wenn es individuell geht?

Mit E-Learning zu mehr Sicherheit

„Schön und gut – aber wie soll unsere IT-Abteilung all dies leisten?“, mögen sich viele fragen. „Die ist doch ohnehin schon stark ausgelastet.“ Ähnlich erging es auch den IT-Verantwortlichen am Flughafen Köln/Bonn, bei Ceconomy oder den Stadtwerken Krefeld – allesamt Nutzer unseres integrierten IT-Sicher-heitstrainings. Über eine interaktive und multimediale E-Learning-Plattform können sich Mitarbeiter spielerisch dem Thema Cybersicherheit nähern. Simulierte Phishing-Mails stellen sie auf die Probe; pas-
sende Hinweise erklären direkt am Objekt, woran der Betrugsversuch hätte erkannt werden können. Der Auftraggeber erhält derweil ein datenschutzkonformes Reporting. Darüber hinaus werden den Mitarbeitern unterstützende Tools an die Hand gegeben, zum Beispiel zur einfachen Meldung verdächtiger E-Mails oder zum richtigen Verhalten im Ernstfall. Das Ziel: der Aufbau einer menschlichen Firewall.

Dr. Niklas Hellemann

Der Psychologe ist langjähriger Unternehmens­berater und Geschäftsführer bei SoSafe Cyber Security Awareness