Wie schnell Mitarbeiter zum Risiko für IT- und Cybersecurity werden – und was Unternehmen spielerisch dagegen tun können
Sie und ich sind ein Risiko. Als Virenträger in Zeiten von Corona. Aber auch in puncto Unternehmenssicherheit sind wir Menschen die größte Schwachstelle, weiß der Cybersecurity-Index 2020. IT-Sicherheit klingt todlangweilig, Firmen investieren wenig in Security Awareness. Das verschärft die Lage: Wir wischen das Thema vom Tisch, weil uns schon nichts passieren wird. Vorschriften mit erhobenem Zeigefinger haben wir satt. Logisch, dass wir uns vor IT-Sicherheitsschulungen lieber drücken – indem wir schwänzen oder parallel tausend andere Sachen tun. Wissen bleibt da kaum hängen. Mit fatalen Folgen.
Kleiner Fehler – fatale Folgen: Wie Hacker Mitarbeiter manipulieren
Wie schnell wir versehentlich virtuelle Türen und Tore öffnen, zeigen eindrucksvolle Beispiele: Ein Computer-Wurm auf einem USB-Stick löste einen der größten Datenverluste der Geschichte im US-Verteidigungsministerium aus und hielt das Pentagon 14 Monate auf Trab. Oder: Ein Snapchat-Mitarbeiter wollte nur der Bitte des CEOs nachkommen und schickte ihm vertrauliche Infos – ohne zu ahnen, dass er dabei einer Phishing-Mail zum Opfer fiel.
Wie angreifbar wir alle sind, wird seit Beginn der Corona-Pandemie deutlicher bewusst: Im Home Office managen wir Haushalt, Kinder und uns selbst zwischen Lagerkoller und Leistungsanspruch. Kennen Sie? Da leidet die Konzentration. Und schon ist sie geöffnet, die E-Mail von Unbekannt.
"Für Cyberkriminelle ist das Coronavirus wie vorgezogenes Weihnachten", titelte die Süddeutsche Zeitung Ende März.
Die IT-Sicherheitsbeauftragten schlagen seit Monaten die Hände über dem Kopf zusammen. Die wenigsten Unternehmen hatten vor der Krise eine komplett remotefähige Belegschaft – und jetzt muss alles auf einmal gehen: Laptop, Remote-Zugang, Headset und Berechtigungen. Dazu Schulungen zur virtuellen Nutzung alter und neuer Systeme. Ach ja, unter Wahrung von Datenschutz- und IT-Sicherheit, irgendwie. Und alle Hacker so: Schlaraffenland!
Technische Sicherheitslücken lassen sich schließen – menschliche nur schwer
Technische Schwachstellen sind gut auszumerzen, etwa durch die Nutzung eines VPN-Clients. Das viel attraktivere Einfallstor für Hacker ist aber der Mensch. Cyber-Kriminelle sind kreative Köpfe. Wir erkennen den Betrug oft gar nicht, weder onsite noch remote:
· Phishing-Mails, die professionell und vertrauenswürdig aussehen
· Einfühlsame, externe Anrufer, die Mitarbeiter geschickt über das Telefon aushorchen
· Vermeintliche Kollegen, die sich unter falscher Mail-Adresse z.B. aus dem „Urlaub“ melden
· Ungesperrte PCs, über die sich Unbefugte Zugang verschaffen
· Fremde USB-Sticks, die zu bösen Überraschungen führen
…die Liste ließe sich beliebig fortsetzen
Menschen lassen sich leicht verführen, ob aus Arglosigkeit, Neugierde oder Hilfsbereitschaft. Phishing-Angriffe stiegen mit Beginn der Pandemie rasant an. Wurde vorher weltweit im Schnitt eine solcher Kampagnen am Tag gezählt, waren es im März 2020 täglich drei bis vier, berichtet das auf dem Gebiet der Cybersicherheit führende Unternehmen proofpoint dem Magazin manage IT vom ap-Verlag.
Der größte Lerneffekt entsteht, wenn wir persönliche Erfahrungen mit Cyberattacken machen
Dabei kann ein bisschen Wissen schon viel Schaden abwenden. Aber wie lässt sich das Bewusstsein für virtuelle Gefahren so schärfen – mit nachhaltigem Lerneffekt für den Arbeitsalltag?
Frontal-Schulungen können eine Grundlage schaffen, gelten aber oft als zähe Pflichtveranstaltungen. Am einprägsamsten lernen Menschen durch eigenes Erleben – was im Falle der IT und Cybersecurity aber eigentlich vermieden werden sollte. Was können wir also tun?
Es muss ein Ansatz her, der das ernste Thema mit Spaß vermittelt. Niederschwellig und spielerisch.
Die Zauberformel #Gamification macht es möglich, die Menschen erlebnisorientiert und humorvoll für IT & Cybersecurity zu sensibilisieren: Ein Spiel! Ein Spiel!
Wir haben ein Planspiel entwickelt, das Ihre Mitarbeiter selbst zu Angreifern bzw. Verteidigern Ihrer Unternehmensschätze werden lässt. Über verschiedene Angriffspunkte dürfen sie erkunden, wie weit sie vordringen können. Parallel sammeln die Spieler Erfahrung darin, Angriffe abzuwehren. Das Spiel macht auf unterschiedliche Arten von Hacker-Angriffen aufmerksam – verpackt als abwechslungsreiches Erlebnis und ohne echten Schaden anzurichten.
Neugierig? Sie können das Spiel sofort selbst in Ihrem Unternehmen spielen, mit minimalem Aufwand. Neben ein paar motivierten Komplizen braucht es dazu nur ein wenig Material. Schicken Sie uns eine E-Mail an planspiel(at)andare.de und wir lassen Ihnen alle Spielunterlagen zukommen, die Sie benötigen! Kostenfrei.
Und dann heißt es: selbst aktiv werden und gemeinsam Schwachstellen im Unternehmen aufdecken! Machen Sie sich gefasst auf Aha-Momente und Schrecksekunden. In jedem Fall aber erreichen Sie eine nachhaltige Stärkung des Gefahrenbewusstseins Ihrer Mannschaft für IT- und Cybersecurity-Themen.
Viel Spaß beim Spielen!
Wir freuen uns auf den Austausch mit Ihnen und beantworten gern Ihre Fragen.
Ihre Andrea Prestel-Galler
P.S.: Wie ist es gelaufen? Wir freuen uns, wenn Sie Ihre Erfahrungen und Erkenntnisse mit uns teilen.