Blog

Security Awareness: So wichtig ist der Faktor «Mensch»

Handeln Sie, bevor es passiert: Durch Phishing-Simulationen und Security Trainings werden Ihre Mitarbeitenden aktiv in die Verteidigung von Cyberangriffen involviert und schützen so nachhaltig Ihr Unternehmen.

Begriffe wie IT-Security, Cyber-Security oder Security Awareness sind längst nicht mehr nur Fachjargon, sondern fixer Bestandteil im Alltag von Geschäftsleitungen und Mitarbeitenden. Der Grund ist klar: Sicherheitslücken verursachen nicht nur Ärger – sie legen im schlimmsten Fall ganze Unternehmen lahm.

Während grossangelegte Cyberangriffe auf Konzerne seit Jahren Schlagzeilen machen, wird erst seit kurzer Zeit breiter erkannt, dass auch KMUs stark gefährdet sind. Die Zahl der Angriffe steigt kontinuierlich, und obwohl Unternehmen immer mehr in technische Schutzmassnahmen investieren, entwickeln sich auch Cyberkriminelle weiter.

Die Bedrohungslage in Zahlen

Die Fakten zeigen deutlich, wie ernst die Lage für Schweizer KMU ist:

• 25 Porzent aller KMU waren bereits Opfer eines folgenschweren Cyberangriffs
• Von rund 39'000 angegriffenen Unternehmen erlitten 13'000 einen finanziellen Schaden
• Jeder zehnte Angriff führt zu Reputationsverlust oder dem Verlust von Kundendaten

Diese Zahlen sprechen eine klare Sprache: Cyberangriffe sind real und treffen längst nicht mehr nur «die Grossen».

Es gibt keinen 100-%-Schutz

Trotz immer besseren Schutzmassnahmen gelingt es Angreifern nach wie vor, erfolgreiche Phishing-Kampagnen durchzuführen. Dafür gibt es verschiedenste Gründe. Einerseits werden vermehrt kompromittierte Email-Accounts für den Versand von Phishing-Mails verwendet (auch Business Email Compromise, kurz BEC genannt). Andererseits können Schutztechnologien rein aus Gründen der Funktionsweise (statistische Analysen) keinen vollumfänglichen Schutz bieten. Zwar werden auch in diesem Bereich vermehrt moderne Erkennungsmethoden auf Basis von Machine-Learning-Technologien eingesetzt, einen 100% Schutz gibt es jedoch auch mit solchen Systemen nicht.

Aus diesem Grund ist es wichtig, Mitarbeitende zu schulen und regelmässig zu trainieren. So wird im Unternehmen das Bewusstsein gegenüber Cyberattacken gestärkt und die Mitarbeitenden erfahren, wie man auf Attacken reagiert und diese vereitelt.

Wie Security Awareness funktioniert

Mit Hilfe von Trainingsvideos und simulierten Cyber-Angriffen wird das Sicherheitsbewusstsein der Mitarbeitenden gezielt trainiert. Dafür wird initial eine Phishing-Kampagne aufgesetzt und eine Phishing-Mail an alle Mitarbeitende versendet. So kann gemessen werden, wie verwundbar ein Unternehmen gegenüber Phishing-Attacken ist. Anhand der Anzahl Klicks auf das Phishing-Mail wird der Bewusstseinsgrad festgelegt und das entsprechende Training individuell auf das Unternehmen zugeschnitten. In unregelmässigen Abständen werden anschliessend Angriffe simuliert und ausgewertet. Auf Basis der Resultate werden dann mit dem Kunden individuell Trainings definiert. Diese können anschliessend den Mitarbeitenden über ein Training-Dashboard zugewiesen werden. Die Trainingsinhalte sind über eine Website für alle Mitarbeitenden zugänglich. Mit voranschreitenden Simulationen werden die simulierten Angriffe immer komplexer und allfällige Hinweise, dass es sich um eine Cyberattacke handeln könnte, immer subtiler. So kann eine kontinuierliche Steigerung des Sicherheitsbewusstseins aller Mitarbeitenden erzielt werden.

Technologische Schutzmassnahmen sind wichtig – aber ohne die aktive Mitarbeit der Mitarbeitenden bleiben sie unvollständig. Regelmässige Security-Awareness-Trainings sind deshalb ein zentraler Baustein jeder Sicherheitsstrategie. Sie stärken das Bewusstsein, reduzieren Risiken und verringern die Wahrscheinlichkeit, dass ein Angriff erfolgreich ist.

Sie wollen Ihr Unternehmen besser schützen?

Wir haben für Sie einen Security-Leitfaden für KMU zusammengestellt – kompakt, verständlich und praxisnah.