News und Termine

06.03.2018

IT-Security-Awareness in Unternehmen

In Zeiten von Internet of Things und zunehmender Vernetzung wird IT-Security immer wichtiger. Bei den Campus Lectures IT-Security erklärte Silvia Schmidt, wie Unternehmen die Awareness ihrer MitarbeiterInnen erhöhen können.


Im Zusammenhang mit Geräten im Internet of Things gibt es immer wieder sicherheitskritische Vorfälle. Die Bedrohungen sind dabei vielfältig, so Silvia Schmidt vom Kompetenzzentrum für IT-Security der FH Campus Wien. Ziel kann die Übernahme von Kontrolle sein, z. B. das Hacken eines Smart Cars (Video s. u.). Ein mögliches Risiko stellt aber auch der Datendiebstahl dar, wie es beim Abrufen von Daten von Fitnessarmbändern der Fall ist. Hinzu kommt die Störung von Services wie die Manipulation eines Herzschrittmachers oder Thermostats.

Wozu Awareness?

Für die folgenden drei Hauptprobleme menschlichen Fehlverhaltens muss daher Awareness geschaffen werden:

  1. Phishing-Attacken werden – vor allem durch sog. Social Engineering (Video s.u.) – immer raffinierter und somit erfolgreicher.
  2. MitarbeiterInnen veröffentlichen nicht selten sensible Unternehmensdaten in Sozialen Medien.
  3. Auch die Verwendung von unsicheren WLANs stellt ein Risiko dar, wenn sich auf Endgeräten wie Smartphones oder Notebooks Firmendaten befinden.

Deshalb sind Awareness-bildende Maßnahmen bei den eigenen MitarbeiterInnen wichtig: Sie müssen sich zu jeder Zeit der möglichen Gefahren bewusst sein. Wichtig ist dabei nicht nur, zu sensibilisieren und eine Verhaltensänderung hervorzurufen, sondern insbesondere auch künftig das Verständnis für Risiken und Sicherheit zu erhöhen.

Erfolgsvoraussetzungen für IT-Security-Awareness in Unternehmen

Bei den Maßnahmen selbst ist zu beachten, dass Vorträge alleine nicht ausreichen. Trainings sollten mit praktischen Workshops oder Tests kombiniert werden. Sinnvoll ist es, Trainings an den jeweiligen Arbeitsbereich anzupassen und eine gewisse Kontinuität sicherzustellen. Ein 90-Tage-Rhythmus ist dabei ein sinnvolles Intervall.

Ganz wichtig bei Umsetzung und Akzeptanz sind die Unterstützung der Führungsebene und ein offenes Unternehmensklima. Es sollte einen Verstoß gegen Regeln zwar zulassen, danach aber eine aktive Thematisierung vorsehen. Zur Erfolgskontrolle empfiehlt es sich, Messungen vorzunehmen, z. B. durch Fragebögen oder Zählung der durch MitarbeiterInnen verursachten Incidents vor und nach den Trainings.

Welche Maßnahmen gibt es?

Die Möglichkeiten für Awareness-Trainings sind vielfältig: Sie reichen von Phishing-Workshops über Seminare und Hackathons bis hin zur unterhaltsamen Aufarbeitung der Thematik bei Firmenfeiern.