Noch fehlt vielen Mitarbeiter das Bewusstsein für ein verantwortungsvolles Verhalten im Internet. Aber auch die Firmen selbst sind oft schlecht auf Cyberattacken vorbereitet, weil sie den Ernstfall nicht proben.
Der Fall zeigt exemplarisch, wo der grösste Schwachpunkt im Cyberspace liegt: beim Menschen. Wenn ein Mitarbeiter gedankenverloren auf einen Link in einer E-Mail klickt oder eine geschickt fingierte Zahlungsaufforderung «begleicht», helfen die besten technischen Vorrichtungen wenig.
Aus guten Gründen sollte deshalb in erster Linie das Bewusstsein der Mitarbeiter geschärft werden. Sie sollten wissen, auf welche Weise Cyberkriminelle von einer Firma Lösegeld erpressen oder einen missbräuchlichen Zahlungstransfer auslösen können. Mit generischen Online-Trainings und dem Ausfüllen von Fragebögen im Rahmen eines Awareness-Programms sei es nicht getan, erklärt Kai Grunwitz, der sich von Deutschland aus für den japanischen IT-Sicherheitskonzern NTT Security mit solchen Fragen befasst. Mitarbeiter müssten kontinuierlich sensibilisiert und konkret involviert werden, um ein ausgeprägtes Risikobewusstsein zu entwickeln. Als leuchtende Beispiele nennt er die deutschen Grossfirmen BMW und Henkel, die ihre Mitarbeiter mit eigens dafür kreierten Teams laufend und auf spielerische Weise über die neusten Angriffsszenarien informieren und sie für korrektes Verhalten belohnen. Dabei werde auch auf «gute» Hacker zurückgegriffen: auf Experten, die Angriffe simulieren und den Mitarbeitern praktisch vor Augen führen, wo sich die konkreten Schwachstellen befinden und welche Verhaltensweisen gefährlich sind. Mit sogenannten Management-Hacks bezieht man auch die Geschäftsleitung ein und führt ihr vor, wie leicht auch sie Opfer von Cyberkriminellen werden kann. Diese Übungen seien wirksamer als jedes Online-Training, meint Grunwitz, der bei NTT Security für die Region Emea (Europa, Nahost, Afrika) zuständig ist. Der Einzelne ist mit seinem oft naiven Verhalten und seiner Gutgläubigkeit nicht nur die Ursache des Übels, sondern auch Teil der Lösung. «Die erste Verteidigungslinie ist und bleibt der Mitarbeiter», sagt Grunwitz.
Source : NZZ