„Wie Viren und Schadsoftware ins Unternehmen kommen – und wie Sie sich davor schützen.“ Darüber berichtet die WFB Wirtschaftsfürderung Bremen in ihrem aktuellen Beitrag über das Awareness Training der Trust-IT aus der Rubrik Digitalisierung / Industrie 4.0:

 

IT-Sicherheit fängt in den Köpfen der Mitarbeiter an. Nur wer ausreichend trainiert ist, kann Cyber-Attacken früh erkennen. Die Bremer Trust-IT GmbH schult Angestellte darin, ein Bewusstsein für den sicheren Umgang mit dem Internet zu entwickeln und hilft so, potenzielle Schäden zu verhindern.

Stellen Sie sich vor: Sie steigen auf dem Firmenparkplatz aus dem Auto, finden einen USB-Stick, beschriftet mit Ihrem Firmenlogo und der Aufschrift „Projektdaten“. Würden Sie ihn nicht mitnehmen, um nachzuschauen, welche Dateien sich darauf verbergen und wer ihn verloren hat? Schon sind Sie Opfer eines IT-Angriffs geworden!

Während sich früher Cyberattacken vor allem gegen die IT-Infrastruktur richteten, sind heute die Mitarbeiterinnen und Mitarbeiter Zielscheibe von Hackern. Sie nutzen Neugier, Unwissen und Gutmütigkeit aus. Gezielt suchen sie sich über soziale Netzwerke ihre Opfer aus, häufig im Rechnungswesen oder die Finanzabteilung.

Angreifer nutzen Emotionen aus, um die IT-Sicherheit auszuhebeln

„Früher war es die Mail vom unverhofften Geldgewinn aus Nigeria, heute ist es die perfekt fingierte Nachricht aus unmittelbarer Nähe. Die Qualität der Angriffe ist enorm gestiegen“, weiß Jan Bischoff, Geschäftsführer der Trust-IT GmbH. Das Bremer Unternehmen hat sich auf die IT-Sicherheit von Unternehmen spezialisiert.

„Ein Beispiel: Die Sekretärin erhält Freitagabends kurz vor Feierabend – der Chef ist schon aus dem Haus – eine Mail von der Unternehmensleitung. Sie soll eine große Geldsumme vertraulich auf das Konto eines Lieferanten überweisen, mit der Bitte um dringende Bearbeitung. Was sie nicht weiß: Die Mail ist täuschend echt gefälscht, nur die IBAN ist eine andere. Die Angreifer nutzen hier bewusst Emotionen aus – den Wunsch nach Feierabend, die drängende Bitte des Chefs, den Zeitfaktor, die Verschwiegenheitsbitte – um Druck aufzubauen“, schildert Bischoff ein reales Szenario. Da helfen auch kein Virenscanner und keine Firewall mehr.

IT-Sicherheit: Den Angestellten in den Fokus rücken

Dabei ist das Thema durchaus im Bewusstsein der Öffentlichkeit. Im Mai 2017 schlugen Berichte um den WannaCry-Kryptovirus große Wellen in den Medien. Trotzdem wissen bisher nur vier von zehn Deutschen um die Gefahr von sogenannter Ransomware, so eine aktuelle Studie des Branchenverbandes Bitkom. Für Bischoff ist das völlig normal: „Man kann von anderen Usern nicht die eigene Affinität zum Thema IT-Sicherheit erwarten“, sagt er. Will heißen: Was für den einen wichtig ist, vergisst der andere schnell wieder. Das Erkennen und der richtige Umgang mit potenziellen Angriffen muss deshalb regelmäßig trainiert werden. „Die beste Alarmanlage bringt nichts bei offenen Fenstern“, sagt Bischoff schmunzelnd. Aus diesem Grund haben er und sein Team ein mehrstufiges Awareness-Training – eine Sensibilisierungskampagne für Unternehmen – entwickelt.

IT-Awareness – sensibilisieren, trainieren, schützen

Los geht es mit einem inszenierten Angriff. Wie böswillige Hacker suchen sich Bischoff und sein Team einen Weg ins Unternehmen, versenden fingierte Mails. „Wir prüfen anonymisiert, wie die Mitarbeiter darauf reagieren. Meistens erhalten wir eine Zugriffsrate zwischen 15 bis 25 Prozent“, so der 34-jährige. Im nächsten Schritt klären sie die Belegschaft über die Attacke auf, was meistens schon für reichlich Diskussionsstoff sorgt. Und genau das ist das Ziel von Trust-IT: Bewusstsein schaffen, für Aufmerksamkeit sorgen, zum Nachdenken über das eigene Verhalten anregen.

Erst dann erhält das Personal Zugang zur „Trust Academy“. Die Online-Trainingsplattform bietet Informationen, Videos, Quizze und Multiple-Choice-Tests zur IT-Sicherheit an, zugeschnitten auf das jeweilige Unternehmen. Absolviert ein Teilnehmer einen Test, wird sein Testergebnis mit dem Highscore im Betrieb verglichen. „Wir nutzen Gamification-Methoden: Menschen lernen am besten spielerisch. Unsere Tests regen zum Wettbewerb untereinander an. Auf diese Weise absolvieren Nutzer freiwillig mehrere Tests.“

Wiederholung ist der Schlüssel

Die Unternehmen können die Kampagne während der gesamten Laufzeit administrativ begleiten, steuern und durch eigene Inhalte anreichern. Ob zudem weitere Trainingsmaßnahmen wie Seminare, Webinare oder Vorträge sinnvoll sind, muss individuell entschieden werden. „Wir empfehlen, das Thema langfristig zu etablieren und somit das Schutzlevel des Unternehmens konstant hoch zu halten. Dazu pflegen wir die Academy und bieten regelmäßig neue Inhalte zu aktuellen Sicherheitsthemen“, rät Bischoff.

Ein Unternehmen, das ein erfolgreiches Awareness-Training mit der Trust-IT durchgeführt hat, ist die Deutsche See GmbH. Der Leiter Informationstechnologie, Thorsten Weber ist froh, das Programm durchlaufen zu haben: „Dank des Awareness Trainings der Trust-IT haben unsere Mitarbeiter gelernt, ihr Wissen über Cybersicherheit zu erweitern sowie bei der täglichen Arbeit anzuwenden, Auffälligkeiten zu erkennen und diese zu melden.“

Vom Mittelständler bis zum Großkonzern: IT-Awareness wird unverzichtbar

IT-Security Awareness Trainings sind dabei, sich als Standard zu etablieren. Die Trust-IT GmbH mit Sitz im Bremer Gewerbegebiet Horn-Lehe-West gehört dabei zu den ersten deutschen Anbietern, die das Thema ganzheitlich betrachten und entsprechende Lösungen bieten. Jan Bischoff ist sich sicher, dass der Bereich noch weiter rasant an Fahrt aufnehmen wird: „Die Anforderungen zur IT-Sicherheit verschärfen sich, auch auf Gesetzgeberseite mit Verordnungen wie KRITIS oder der Datenschutzgrundverordnung DSGVO. Sensibilisierungstrainings werden künftig zum Standardbestandteil eines jeden IT-Security-Konzepts werden.“ Und das längst nicht nur für große Konzerne: Gerade Mittelständler sind gerne das Ziel von Angreifern, da hier die Standards noch nicht so hoch sind.

 

Autor / Quelle: Jann Raveling, https://www.wfb-bremen.de/de/page/stories/digitalisierung-industrie40/it-sicherheit-vor-viren-trojaner-durch-awareness