Fehler passieren, das ist unvermeidlich.
Die Realität sieht jedoch so aus, dass
wenn es um Ihre Kampagne zur Sensibilisierung für Cybersicherheit geht, jeder noch so kleine Fehler
eine äußerst nachteilige Auswirkung auf die Sicherheit Ihrer
Organisation haben kann.
Die Folgen dieser scheinbar unschuldigen Fehler werden
in der Presse täglich durch Berichte über Datenschutzverletzungen, Cyberangriffe
und empfindliche Geldstrafen für fahrlässige Cybersicherheitspraktiken vor Augen geführt.
Wir leben jetzt in einer anderen Zeit, einer Zeit, die einen besseren Ansatz für die Cybersicherheit erfordert. Ihre Sensibilisierungskampagne für Cybersicherheit darf nicht einfach nur ein stumpfsinniger Versuch sein, ein Kästchen anzukreuzen. Sie muss das Risiko mindern, eine echte Verteidigung gegen Cyber-Bedrohungen bieten und die Mitarbeiter über die Bedeutung ihrer Rolle beim Schutz sensibler Unternehmensdaten aufklären.
Es kann schwierig sein zu wissen, wo man anfangen soll oder welche Bereiche
das größte Risiko darstellen, aber wenn Sie die häufigsten Fehler bei der Sensibilisierung für die Sicherheit
erkennen, können Sie damit beginnen, eine solide Kampagne zur Sensibilisierung für die Cybersicherheit
zu entwickeln, die sich gegen die sich entwickelnden Cyber-Bedrohungen wehrt und
die gesetzlichen Vorschriften effektiv einhält.
Zu den häufigsten Fehlern beim Sicherheitsbewusstsein gehören:
1. ein oberflächlicher Ansatz für die Cybersicherheit
Viele Unternehmen geben zwar Lippenbekenntnisse zur Cybersicherheit ab, nehmen die Bedrohung aber nicht ernst genug. Sie glauben vielleicht, dass sie zu klein sind, um angegriffen zu werden, oder dass das Geld in andere Bereiche investiert werden könnte, in denen es eine unmittelbarere Rendite gibt. Dies sind gefährliche Annahmen.
Laut dem Verizon 2019 Data Breach Investigations Report (DBIR) zielen 43 % aller Cyberangriffe mittlerweile auf kleine Unternehmen ab. Die Realität ist, dass Cyberkriminelle es zunehmend auf kleinere und mittlere Unternehmen abgesehen haben, da diese in der Regel weniger Geld und Ressourcen haben, um in Cybersicherheit zu investieren. Es mögen zwar die großen Marken sein, die in die Schlagzeilen geraten, aber jedes Unternehmen ist ein Ziel und braucht die entsprechenden Cybersicherheitsmaßnahmen, um sich gegen Angriffe zu schützen.
Menschliches Versagen ist nach wie vor die Hauptursache für alle Verstöße gegen die Cybersicherheit. Deshalb ist es wichtig, dass Ihr Unternehmen eine wirksame Sensibilisierungskampagne für Cybersicherheit durchführt, die die Mitarbeiter darin schult, wie sie die sich entwickelnden Bedrohungen erkennen und angemessen darauf reagieren können.
2. Keine klaren Zielvorgaben
Wenn Ihre Kampagne zur Förderung des Sicherheitsbewusstseins erfolgreich sein soll, müssen Sie
klar definierte Ziele haben, die umreißen, was Sie zu erreichen hoffen. Ihre
Ziele sollten die Probleme, mit denen Ihr Unternehmen
derzeit konfrontiert ist, identifizieren und angehen. Dabei kann es sich um Phishing-Angriffe, Fernarbeit, Passwort
sicherheit, rechtliche Fragen oder physische Sicherheit handeln. Cyberkriminelle sind
ständig auf der Suche nach Angriffsflächen. Wenn Ihre Kampagne zur Förderung des Sicherheitsbewusstseins
also nicht alle Risikobereiche richtig identifiziert, ist Ihre Organisation
anfällig für Angriffe.
Der nächste Schritt besteht darin, Ihre Zielgruppe zu ermitteln. Unterschiedliche Mitarbeiter in Ihrem Unternehmen sind unterschiedlichen Bedrohungen ausgesetzt. Anstatt also die gleichen allgemeinen Inhalte an alle zu verschicken, sollten Ihre Mitarbeiter gezielte Schulungen erhalten, die für ihre jeweilige Rolle relevant sind. Durch die Durchführung einer detaillierten Risikobewertung ist Ihr Unternehmen viel besser in der Lage, eine Kampagne zur Sensibilisierung für Sicherheitsfragen mit klaren Zielen zu erstellen, die zu einem späteren Zeitpunkt angemessen gemessen und bewertet werden kann.
3. Langweiliger Inhalt
Ihre Sensibilisierungskampagne für Cybersicherheit ist zum Scheitern verurteilt, wenn Sie Ihre Mitarbeiter immer wieder mit denselben langweiligen und sich wiederholenden Inhalten bombardieren. Das Thema Cybersicherheit ist schon trocken genug, ohne dass Sie es mit langen PowerPoint-Präsentationen und eintönigen Foliendateien verschlimmern müssen, die keine Rolle dabei spielen, die sehr reale Bedrohung zu vermitteln, die Cyberkriminelle für Ihr Unternehmen darstellen. Und täuschen Sie sich nicht, diese Bedrohungen sind real. Unabhängig von Größe, Branche oder Standort ist jedes Unternehmen anfällig und wird von Cyberkriminellen aktiv ins Visier genommen.
Der Schlüssel zur Minderung dieses Risikos und zur Schaffung von mehr Cybersicherheit bei den Mitarbeitern liegt in der Verwendung von ansprechenden und relevanten Inhalten. Das Erzählen von Geschichten ist ein sehr wirksames Mittel, um Ihre Botschaften zur Cybersicherheit zu verstärken. Untersuchungen der Stanford University haben ergeben, dass sich Geschichten bis zu 22 Mal besser einprägen als reine Fakten. Wenn es Ihnen gelingt, das Thema Cybersicherheit erlebbar zu machen, werden Ihre Mitarbeiter die Informationen mit größerer Wahrscheinlichkeit im Gedächtnis behalten und somit die allgemeine Sicherheitslage Ihres Unternehmens verbessern.
Es ist auch wichtig, eine Vielzahl verschiedener Methoden und Formate zu verwenden, um das Publikum zu beschäftigen. Live-Action-Videos, Animationen, Quiz, Richtlinien, Blogs und Aufklärungsposter lassen sich zu einem umfassenden Sicherheitsprogramm kombinieren, das das Verhalten der Mitarbeiter positiv beeinflusst.
4. Unregelmäßige Ausbildung
In den vergangenen Jahren haben Unternehmen jedes Jahr einen
Cybersicherheitskurs angeboten und gehofft, dass dies ausreichen würde, um ihre Mitarbeiter auf dem neuesten Stand
zu halten, was die neuesten Bedrohungen angeht. Doch die Zeiten haben sich geändert. Cyber-Bedrohungen
entwickeln sich ständig weiter. Wenn Ihre Mitarbeiter nicht regelmäßig geschult werden,
können sie die ausgeklügelten Bedrohungen nicht erkennen, mit denen sie
angegriffen werden.
Cyberkriminelle versuchen in der Regel, in Ihr Unternehmen einzudringen, indem sie Schwachstellen in der Software, Phishing, Malware oder allgemein schlechte Sicherheitspraktiken ausnutzen. Da wir über diese verschiedenen Angriffsmethoden immer besser Bescheid wissen, mussten die Cyberkriminellen bei ihren Betrugsversuchen immer raffinierter werden. 30 % der Sicherheitsvorfälle lassen sich heute auf unvorsichtige oder uninformierte Mitarbeiter zurückführen. Wenn Ihre Mitarbeiter also nicht regelmäßig geschult werden, könnten sie eine erhebliche Gefahr für die Sicherheit Ihres Unternehmens darstellen.
5. Keine Belohnung für das Personal
Es kann leicht passieren, dass man sich in dem Versuch verrennt, die Personen zu identifizieren, die ein Sicherheitsrisiko für Ihr Unternehmen darstellen, anstatt die Mitarbeiter zu belohnen, die aktiv Bedrohungen erkennen, gutes Sicherheitsverhalten an den Tag legen und dabei ihre Kollegen motivieren. Diese Mitarbeiter sind der Schlüssel zum Erfolg Ihres Sicherheitsprogramms und sollten entsprechend belohnt werden.
Zu den Belohnungen können Trophäen, Preise oder öffentliches Lob und die Anerkennung ihrer Bemühungen gehören. Es ist wissenschaftlich erwiesen, dass Belohnungen das menschlicheVerhalten beeinflussen. Wenn Sie also ein Anreizprogramm schaffen, das positives Sicherheitsverhalten belohnt, ist es wahrscheinlicher, dass Sie Mitarbeiter für Cybersicherheit gewinnen, die sich für den Schutz Ihres Unternehmens einsetzen.
Gartner hat ein detailliertes Forschungspapier erstellt, in dem 10 häufige Fehler beim Sicherheitsbewusstsein aufgezeigt werden und wie sie vermieden werden können. Um das Forschungspapier zu lesen und herauszufinden, wie Sie das Sicherheitsverhalten in Ihrer Organisation ändern können, besuchen Sie
