Security Awareness

„Wir machen schon einmal im Jahr ein Training zur Security Awareness…“ Das hören wir so immer mal wieder. Grund genug, mal darüber zu reden. Denn einmal im Jahr ein Security-Awareness-Training – reicht das? Gibt es denn eine akute Gefahr?

„Wir machen schon einmal im Jahr ein Training zur Security Awareness…“

Das hören wir so immer mal wieder. Grund genug, mal darüber zu reden. Denn einmal im Jahr ein Security-Awareness-Training – reicht das?

Gibt es denn eine akute Gefahr?

Oft hör man den Vergleich mit Feueralarm-Übungen, die mache man ja auch nur einmal im Jahr. Oder es wird gefragt: „Wie oft machen wir Erdbebenschutz-Übungen?“ Die brauchen wir doch nicht, wir sind nicht gefährdet wie zum Beispiel Menschen in Japan. Und IT-Security-Awareness? Es wird schon nichts passieren?

Das sehen wir natürlich anders.

Was würde man wohl einem Betreiber einer Chemieanlage sagen, der mit schnell brennbaren Stoffen arbeitet, wenn dieser sagt: „Ach, einmal im Jahr ein bisschen Brandschutz-Übung, das reicht schon“? Vermutlich würden man ihm mangelnde Kenntnis unterstellen.

Natürlich wird die Situation in einem Chemiewerk schneller lebensbedrohlich als in der IT-Security. Aber auch hier können die Folgen für Unternehmen drastisch und – je nachdem, was passiert – lebensbedrohlich werden.

Immer wieder erleben wir, dass die Gefahrenlage unterschätzt wird, man seine eigene IT-Struktur überschätzt und sich möglicher Risiken schlicht nicht bewusst ist.

Eine typische Werksfeuerwehr eines Chemieparks hat hoch qualifizierte Profis, die stets wachsam sind. Doch damit nicht genug, sie üben auch täglich weiter. Dazu kommen rund 1.000 Einsätze pro Jahr. Man weiß es in der Branche, die Mehrkosten und der Mehraufwand lohnen sich dennoch. Denn ein Gau ist immer unbezahlbar. (Vgl. https://www.gendorf.de/Nachbarn/Sicherheit/Werkfeuerwehr).

Was muss sich ändern? Die Einstellung

Wir sollten anfangen, uns die IT-Strukturen unserer Unternehmen so vorzustellen, als würden wir eine Chemieanlage betreiben, die mit hochentzündlichen Brennstoffen arbeitet. Die digitalen Strukturen von Unternehmen sind oft anfällig, werden in ihrer Gefährlichkeit unterschätzt, Schutz vernachlässigt und nicht präventiv dafür Sorge getragen, dass – im übertragenen Sinne – nichts anbrennt.

Ja, wir brauchen mehr Security Awareness. Cyber-Bedrohungen sind überall, werden stetig mehr und immer cleverer (Stichwort: KI). Die Herausforderungen für Unternehmen wachsen und ändern sich so schnell, dass manche längst den Überblick verloren haben. Sie merken nicht, von welchen Gefahren und Risiken sie umgeben sind.

Was tun? Ganz klar: Öfter (als einmal jährlich) Mitarbeiter schulen und ihre Awareness – also das Bewusstsein für Gefahren und ihre Fähigkeit, Gefahren zu erkennen und zu vermeiden stärken. Zusätzlich zu technischen Sicherheitsvorkehrungen, die zum Teil auch gesetzlich vorgeschrieben sind (KRITIS-Verordnung, BSIG und andere Richtlinien) müssen Menschen, die mit fürs Unternehmen potenziell gefährlichen und gefährdeten digitalen Arbeitsmitteln arbeiten, um die Risiken wissen. Denn der Faktor Mensch ist nach wie vor eines der Haupteinfallstore für Schadsoftware und Angreifer.

Nötig: mehr Security-Awareness-Trainings

Durch kontinuierliche Security-Awareness-Trainings:

Stärken wir das Bewusstsein und die Fähigkeiten von Mitarbeitern, mögliche Bedrohungen zu erkennen und auch abzuwehren.
So wird die gesamte Sicherheitskultur des Unternehmens gestärkt und auf neustem Stand gehalten.
Risiken und hohe Kosten durch Sicherheitsvorfälle (auch Reputationsschäden!) werden so effektiv vermieden.

Es lohnt sich, regelmäßig und öfter als einmal jährlich in Security-Awareness-Trainings zu investieren. Um nochmal im Geiste durch die Chemieanlage zu gehen: Wie sicher sind wir uns, dass wir uns der Gefahren bewusst sind und im Ernstfall wissen, was zu tun ist?

Wir beraten gerne!