LOGIN
+49 (0)234-927 89 80

20. Juli 2023

Ohne Mitdenken keine Sicherheit: Wie Mitarbeitende für IT-Sicherheit einen Unterschied machen

Ein Klick auf einen infizierten Mailanhang oder die Eingabe von sensiblen Daten in eine falsche Webseite können ausreichen, um Hackern ein Einfallstor zu öffnen. In einer digitalisierten Welt ist es für Unternehmen daher entscheidend, alle Beteiligten in die Sicherheitsstrategie einzubinden, um sensible Daten und Systeme zu schützen. Mitarbeitende können einen entscheidenden Unterschied machen, wenn sie für die Gefahren sensibilisiert sind und informiert und sicher handeln können.

Warum Mitarbeitende für die IT- und Informationssicherheit so wichtig sind

Die IT-Sicherheit eines Unternehmens hängt nicht allein von technischen Lösungen oder externen Dienstleistern ab. Mitarbeitende spielen eine entscheidende Rolle, wenn es um den Schutz von sensiblen Daten und Systemen geht. Sie sind täglich mit den Risiken und Herausforderungen der digitalen Welt konfrontiert und können durch ihr Verhalten maßgeblich zur Sicherheit des Unternehmens beitragen – oder sie gefährden. Laut der aktuellen Studie „Cybersicherheit in Zahlen“ von GData schätzen fast 34 Prozent der Mitarbeitenden deutscher Unternehmen ihre Fähigkeiten im Bereich IT-Sicherheit nur gering oder sehr gering ein.

Dieses fehlende Wissen stellt ein Risiko für Unternehmen dar und kann im Ernstfall eines Angriffs großen Schaden verursachen. Deshalb ist es wichtig, dass Unternehmen ihre Mitarbeitenden für das Thema IT-Sicherheit sensibilisieren und ihnen die nötigen Kompetenzen vermitteln. Nur so können sie zu einem aktiven Teil der Sicherheitsstrategie werden und gemeinsam mit dem Unternehmen für einen sicheren Arbeitsplatz sorgen.

Sensibilisierung der Mitarbeitenden durch Schulungen und Trainings

Um eine sichere IT-Infrastruktur zu gewährleisten, ist es wichtig, dass alle Mitarbeitenden regelmäßig sensibilisiert und geschult werden. Schulungen und Trainings sind ein wichtiger Bestandteil dieser Arbeit, denn hierbei geht es nicht nur darum, die Mitarbeitenden über aktuelle Bedrohungen zu informieren, sondern auch darum, sie für mögliche Risiken zu sensibilisieren und ihnen das nötige Wissen und Handwerkszeug an die Hand zu geben, um im Ernstfall richtig zu handeln und gegebenenfalls sicherheitsrelevante Entscheidungen treffen zu können.

Regelmäßige Schulungen und Trainings helfen dabei, das Bewusstsein für IT-Sicherheit und die Risiken und Bedrohungen im Arbeitsalltag zu schärfen und tragen somit maßgeblich dazu bei, dass Unternehmen mit ihren Mitarbeitenden eine „menschliche Firewall“ aufbauen können. Sicherheitsbewusste Mitarbeitende stellen eine der wichtigsten Sicherheitsmaßnahmen für Unternehmen dar.

Verantwortung der Mitarbeitenden: Passwortmanagement und Datensicherheit

Eine der wichtigsten konkreten Verantwortlichkeiten der Mitarbeitenden in Bezug auf IT-Sicherheit ist das Passwortmanagement und die Datensicherheit. Es mag banal erscheinen, aber schwache oder leicht zu knackende Passwörter sind nach wie vor ein zentrales Sicherheitsrisiko für Unternehmen. Das Bewusstsein dafür und konkrete Sicherheitsvorgaben für die Verwendung von starken Passwörtern sowie regelmäßiges Ändern der Passwörter tragen dazu bei, potenzielle Bedrohungen abzuwehren.

Darüber hinaus sollte das Bewusstsein für Daten- und Informationssicherheit geschärft werden. Mitarbeitende sollten darauf achten, dass sensible Daten nicht unverschlüsselt gespeichert werden und nur auf vertrauenswürdigen Geräten zugänglich sind. Eine Schulung zu den Themen Passwortmanagement und Datensicherheit kann dabei helfen, diese Sensibilisierung zu stärken und außerdem konkrete Handlungsempfehlungen für die Umsetzung im Unternehmen geben.

Risikobewusstsein fördern: Phishing-E-Mails erkennen und melden

Ein wichtiger Aspekt der IT-Sicherheit durch Mitarbeitende ist außerdem der Umgang mit Phishing-E-Mails. Phishing-E-Mails sind eine der häufigsten Bedrohungen für Unternehmen. Mitarbeitende sollten in der Lage sein, diese E-Mails zu erkennen und zu melden, um Schaden rechtzeitig zu vermeiden oder zu begrenzen. Dazu gehört nicht nur die Kenntnis von typischen Merkmalen wie fehlerhaften Links oder ungewöhnlichen Absendern, sondern auch ein kritisches Hinterfragen von Inhalten und Absichten der E-Mail.

Die Methode des Social Engineerings wird häufig in Verbindung mit Phishing-E-Mails genutzt und der Einsatz von Künstlicher Intelligenz vereinfacht die Erstellung von authentisch wirkenden Phishing-Mails, die kaum noch von echten E-Mails zu unterscheiden sind. Schulungen und regelmäßige Sensibilisierungskampagnen tragen dazu bei, das Risikobewusstsein zu fördern und Mitarbeitende zu befähigen, aktiv zur IT-Sicherheit beizutragen. Dazu braucht es außerdem klare Verantwortlichkeiten und Ansprechpartner, an die Mitarbeitende sich im Zweifel wenden können. Unternehmen können dafür Cybersecurity-Awareness-Beauftragte bestimmen, die für eine dauerhafte und organisierte Aufklärung der Mitarbeitenden sorgen.

Sicherheitskultur im Unternehmen etablieren: Regeln und Richtlinien kommunizieren

Um eine effektive Sicherheitskultur im Unternehmen zu etablieren, ist es unerlässlich, klare Regeln und Richtlinien zu kommunizieren. Mitarbeitende müssen genau wissen, welche Verhaltensweisen erlaubt sind und welche nicht und wie sie im Ernstfall reagieren können. Es empfiehlt sich, einheitliche Standards zu definieren und diese in einem schriftlichen Regelwerk festzuhalten. Dabei sollten alle relevanten Aspekte berücksichtigt werden – von der Passwortvergabe über den Umgang mit sensiblen Daten bis hin zur Nutzung von externen Geräten.

Wichtig ist auch, dass die Regeln regelmäßig aktualisiert werden, um auf neue Bedrohungen reagieren zu können. Damit die Mitarbeitenden die Vorgaben auch tatsächlich befolgen, sollten sie in Seminaren und Trainings praktisch dazu geschult werden. Hierbei geht es nicht nur darum, ihnen das nötige Know-how zu vermitteln, sondern konkret einige Szenarien durchzugehen und Handlungsoptionen für den Ernstfall zu definieren.

Für den Ernstfall gewappnet: Incident-Management und Notfallpläne

Für eine ganzheitliche IT-Sicherheit ist neben der Sensibilisierung und Definition von vorbeugenden Maßnahmen auch die Erstellung von Notfallplänen für den Ernstfall unerlässlich. Im Falle eines Sicherheitsvorfalls oder eines technischen Problems müssen alle Beteiligten schnell und effektiv handeln, um die Auswirkungen zu minimieren. Hierbei ist es entscheidend, dass alle Mitarbeitenden über die notwendigen Kenntnisse und Fähigkeiten verfügen, um im Ernstfall angemessen zu reagieren.

Dafür braucht es klar verteilte Verantwortlichkeiten, sodass jeder Mitarbeitende aus jeder Abteilung schnell und sicher die IT-Abteilung bzw. Ansprechpartner informieren kann, wenn er oder sie einen Einbruch in das System feststellt oder eine Manipulation vermutet. Die IT-Abteilung kann hierbei durch Schulungen und Trainings unterstützen, um eine reibungslose Zusammenarbeit sicherzustellen. Auch die regelmäßige Überprüfung der Notfallpläne sowie das Feedback der Mitarbeitenden können dazu beitragen, dass diese optimiert werden und im Ernstfall jederzeit schnell und effektiv umgesetzt werden können.

Fazit: Jeder kann einen Beitrag zur IT-Sicherheit leisten

Abschließend lässt sich sagen, dass jeder Mitarbeitende einen wichtigen Beitrag zur IT-Sicherheit leisten kann – und sollte. Es ist nicht nur die Aufgabe der IT-Abteilung, sondern die Verantwortung des Unternehmens und jedes Einzelnen, sich bewusst mit dem Thema auseinanderzusetzen und entsprechend zu handeln. Eine gute Schulung und Sensibilisierung sind hierbei unerlässlich, um das Bewusstsein für mögliche Gefahren im Unternehmen zu schärfen und ein angemessenes Sicherheitsverhalten zu fördern.

geschrieben von
Annika Brockhaus, für die isits AG International School of IT Security

zurück zum IT Security Blog

Immer auf dem Laufenden:
News direkt in Ihr Postfach.

NEWSLETTER

KARRIERE

Unser Standort
Anreise DB-Special
Hotelempfehlungen

DIE IT-SICHERHEITS-METROPOLE

isits AG
Aus- und Weiterbildungszentrum für Cybersecurity

isits AG
International School of IT Security
Huestr. 30 – 44787 Bochum

+49 (0)234 92 7898-0
+49 (0)234 92 7898-20

info@is-its.org
www.is-its.org

Leistungen
Newsletter

Wir freuen uns darauf, Sie regelmäßig über aktuelle Angebote und Veranstaltungen der isits AG zu informieren.

Zum Newsletter anmelden
Instagram Facebook Twitter Xing Linkedin Youtube

Mitgliedschaften der isits AG:

Seminarbroschüre isits

Unser Angebot in einer Broschüre

Laden Sie sich jetzt kostenlos unsere umfassende Weiterbildungsbroschüre herunter:

Zur Bestätigung Ihrer E-Mail-Adresse senden wir Ihnen zunächst einen Bestätigungslink. Anschließend erhalten Sie umgehend die Broschüre. Mit der Bestätigung melden Sie sich zu unserem E-Mail-Verteiler an & erhalten unsere Weiterbildungs-News direkt in Ihr Postfach. Dieser Nutzung kann jederzeit widersprochen werden.