Der aktuelle Bericht zur Lage der IT-Sicherheit vom BSI (Bundesamt für Sicherheit in der Informationstechnik) beschreibt ein düsteres Bild für Unternehmen, Verwaltungen und Organisationen jeder Größenordnung in Deutschland. Viele Fälle, gerade aus diversen öffentlichen Verwaltungen sowie dem Gesundheitswesen, haben es auch in die Medien geschafft – bis hin zu dem Fall, bei dem der Ransomwareangriff (Verschlüsselungstrojaner) auf ein Universitätsklinikum ein Todesopfer gefordert hat. Aber der Regelfall ist doch „nur“ die Erpressung von Lösegeld, damit die firmeneigene IT-Infrastruktur wieder entschlüsselt wird, oder keine firmeninternen Informationen veröffentlicht und an die Wettbewerber weitergegeben werden. Die Varianten solcher Schadprogramme sind im Berichtszeitraum auf 144 Millionen gestiegen und machten somit 22 % mehr Varianten aus, als im Vorjahr.
Gerade dieser Variantenreichtum beschreibt die Herausforderung an technische Einrichtungen wie Firewalls oder Antivirusprogramme, solche Schadsoftware zu erkennen und zu bekämpfen. Wenn die Technik jedoch am Ende ihrer Möglichkeiten angelangt ist, wandert immer mehr Verantwortung zur Erkennung von Angriffen durch Cyberkriminelle auf die einzelnen Mitarbeiter. Diese sind aber schon durch die aktuelle Pandemiesituation überfordert und befinden sich unter hohem Druck, der zu Unsicherheit und Fehleranfälligkeit führt.
Ein Ausweg sind Mitarbeitersensibilisierungsmaßnahmen und regelmäßige Schulungen der Mitarbeiter, als ein wichtiger Baustein zur Risikoreduzierung und Vermeidung erfolgreicher Angriffe. Oft zahlt sich das Investment in die Schulungsmaßnahmen schon bei der Vermeidung nur eines erfolgreichen Angriffs aus.
Im Datenschutzkontor bieten wir Praxisfälle aus unserer täglichen Beratung, wie solche Cyberangriffe beginnen können und wie die Mitarbeiter wachsam bleiben. Dabei geht es gar nicht um die technischen Finessen und Erklärversuche was technisch dahintersteckt, sondern um die unterschiedlichen Varianten, die Cyberkriminelle nutzen und wie Mitarbeiter diese erkennen – oder zumindest einmal mehr hinterfragen.
In den monatlichen Schulungsvideos werden unterschiedliche Fälle gezeigt, z. B. wie eine Krankschreibung zur Verteilung von Schadsoftware beitragen kann, wie Unbefugte die Zutrittskontrollen umgehen können oder wie bösartige Anrufer erfolgreich zur Installation von Schadsoftware auffordern. Ziel dieser Sensibilisierungsfilme ist es, dass die Mitarbeiter viele unterschiedliche Gefahrenquellen und konkrete Gefährdungen kennenlernen. Durch regelmäßige, monatlich erscheinende 3 – 5-Minütigen Videos, ist die Bereitschaft potenzielle Angriffe zu hinterfragen viel höher, als bei einer jährlich stattfindenden Schulung. So bleibt die Sensibilisierung und Bereitschaft zum Hinterfragen über das ganze Jahr auf einem hohen Niveau, anstatt eine einmalige Spitze nach der Jahresschulung zu bewirken.
Datenschutz und Informationssicherheit
Die Schulungsvideos werden zu einem günstigen Preis pro Mitarbeiter pro Monat angeboten und lassen sich auch über das firmeninterne Intranet, Learning Management System oder innerhalb von Microsoft Teams, z. B. auch über die kostenlose Version von Microsoft Viva Learning, an die Mitarbeiter verteilen. Natürlich eigenen sich diese Schulungsvideos hervorragend als organisatorische Maßnahme zur Mitarbeitersensibilisierung bei der Umsetzung eines Informationssicherheits-Managementsystems nach ISO 27001, TISAX oder VdS 10000 und datenschutzrechtlichen Prozessen. Die jährlichen 12 Filme beinhalten 10 Filme zur Informationssicherheit und zwei Filme zu Datenschutz / DSGVO-Umsetzung.