Cyber-Virus: Die andere bedrohliche Pandemie

13. September 2021

Dieser Artikel wurde auf der französischen Nachrichtenseite Silicon.fr von Marc Lestienne, Deputy Chief Information Officer bei Prodware, veröffentlicht.

Es ist ein großer Irrtum zu glauben, dass ein Cybersicherheitsprogramm eine reine IT-Initiative ist und sich nur mit den technischen und technologischen Aspekten befasst. Das ist so, als würde man denken, dass das Coronavirus nur für Ärzte und medizinisches Fachpersonal von Belang ist.
Tatsächlich erfordert die Bekämpfung des Covid-19-Virus kollektive Anstrengungen: zuerst die Mitarbeiter des Gesundheitswesens an vorderster Front, dann die Politiker, die die Maßnahmen durchführen, und schließlich die Gesellschaft als Ganzes, die die Dynamik aufnimmt. Dasselbe gilt für die Cyberkriminalität. Sie ist eine Bedrohung, die nur gemeinsam abgewehrt werden kann.

Die Einführung eines internen Cybersicherheitsprogramms ist sowohl ein politisches als auch ein menschliches Projekt, zumal die Zahl der Cyberangriffe im Jahr 2021 sprunghaft angestiegen ist und weiter zunimmt.

Führen CIOs und Epidemiologen den gleichen Kampf?

Die wenigsten Benutzer wissen das, aber die Remote-Arbeit macht Unternehmen zunehmend anfällig für Cyber-Angriffe. Noch schlimmer ist, dass noch weniger Benutzer wissen, wie sie sich vor diesen Angriffen schützen können.
Angesichts dieser wachsenden Bedrohung ist eine Kampagne zur Sensibilisierung für Cybersicherheit unerlässlich. Sie hilft dabei, allen Mitarbeitern die Risiken und Gefahren dieser Pandemie zu erklären und sicherzustellen, dass sie wissen, was sie tun und lassen müssen, um sicher zu bleiben. Eine Sensibilisierungskampagne kann auf verschiedene Weise durchgeführt werden: mit Videos, E-Mail-Botschaften, Spiele-Apps, Quizfragen.

Um jedoch so viele Mitarbeiter wie möglich und die größtmögliche Akzeptanz bei den Nutzern zu erreichen, muss die Kampagne sowohl lehrreich als auch unterhaltsam sein, aber vor allem von allen verstanden werden. Um effizient zu sein und die Gewohnheiten und die Anwendung zu verändern, muss sie als langfristige Initiative geplant werden.

Sensibilisierung, Testen, Ansprechen… klingelt es da bei Ihnen? Ich kann mir sogar die CIOs in Kitteln vorstellen.

Kein Wunderheilmittel, aber 3 wichtige Maßnahmen

Politische Mobilisierung…

Die wichtigste Herausforderung bei einer Cybersicherheitskampagne besteht darin, allen Mitarbeitern zu vermitteln, wie Hackerangriffe funktionieren. Wir haben es hier nicht mit einem reinen IT-Projekt per se zu tun. Es handelt sich um eine allumfassende Gruppeninitiative, die von Anfang an die Unterstützung und Führung durch die Personal- und Kommunikationsabteilungen erfordert, damit Akzeptanz geschaffen wird.

Der Schlüssel zum Aufbau der Akzeptanz liegt in der Bereitschaft der Menschen: von der obersten Führungsebene bis hin zu den einfachen Mitarbeitern mit lokalen Managementteams, die die Kampagne vermitteln und unterstützen. Ohne einen klaren Aufruf zum Handeln und ein tiefes Verständnis dessen, was auf dem Spiel steht, wird eine Sensibilisierungskampagne nur wenig dazu beitragen, unsere Gewohnheiten zu ändern und schon gar nicht die Pandemie zu beseitigen.

… das Bewusstsein schärfen…

Es reicht nicht aus, sich auf technische Lösungen und Tools zu verlassen. Um Cyberkriminalität zu bekämpfen, müssen alle Mitarbeiter die Gefahren verstehen und wissen, was auf dem Spiel steht. Der Aufbau von Immunität gegen Cyberangriffe kann nur durch Sensibilisierung erreicht werden.

Die Sensibilisierungskampagne ist ein effizientes Instrument, das wie ein Impfstoff wirkt. Sie wird in den Köpfen der Menschen verankert und löst fast augenblicklich eine Immunreaktion aus, da die Benutzer genau wissen, was sie zu tun haben. Um die Akzeptanz und Effizienz zu fördern, muss eine Sensibilisierungskampagne auf die Zielgruppe zugeschnitten sein.

Daher besteht der erste und sicherlich wichtigste Schritt eines solchen Programms darin, den Kenntnisstand über die Informationssicherheit zu ermitteln. Für diesen Schritt wird in der Regel ein Fragebogen verwendet.

Die Kampagne kann dann in verschiedenen Formaten durchgeführt werden. Es könnten Workshops für bestimmte Gruppen eingerichtet werden, die sich auf die spezifischen Bedrohungen konzentrieren, denen sie ausgesetzt sein könnten. Videos oder eine Reihe von kurzen Video-Episoden für alle Mitarbeiter können verwendet werden, um die verschiedenen Risiken und Gefahren (WAP, Phishing, DDoS, Cookies usw.) zu erklären. Die Verwendung von Videos ist ein sehr effizientes, unterhaltsames und intuitives Mittel, um die verschiedenen Risikofaktoren zu veranschaulichen und zu erklären, die für uns als Anwender hinter unseren Computern normalerweise nicht greifbar sind.

Und schließlich kann mit einer solchen Kampagne ein Wettbewerb zwischen den Ländern einer internationalen Organisation mit Spiele-Apps ins Leben gerufen werden, um mehr Interesse und Engagement zu generieren. Die Organisation solcher Challenges oder Wettbewerbe ist auch eine gute Möglichkeit, die Akzeptanz der Mitarbeiter zu messen und zu überprüfen, ob die Sensibilisierungskampagne und die damit verbundenen Programme ernst genommen werden.

… und die Aufstellung eines langfristigen Aktionsplans

Damit eine Cybersicherheitskampagne effizient ist, muss sie bis zum Ende durchdacht sein. Das Programm muss regelmäßig aktualisiert werden, die verschiedenen Schulungsmöglichkeiten der Mitarbeiter berücksichtigen und mit dem technologischen Fortschritt Schritt halten. Es werden Ziele festgelegt, um die Leistung zu bewerten. So können die Koordinatoren dieses Programms die Mitarbeiter weiterhin unterstützen und die Schulungsinhalte entsprechend fördern. Die Festlegung von Zielen, die Jahr für Jahr erreicht werden sollen, trägt dazu bei, eine positive Dynamik und einen positiven Kreislauf zu schaffen, der mit der Zeit die Pandemie für immer in Schach halten wird.

Auf dem Weg zur Herdenimmunität…

Das Ziel einer Sensibilisierungskampagne für Cybersicherheit ist daher ein Zweifaches: Sie soll langfristig alle Mitarbeiter zusammenbringen und eine möglichst große Akzeptanz erreichen. Es ist nichts anderes als ein Change Management für alle Mitarbeiter einer Organisation, das alle Beteiligten miteinbezieht, um den Heiligen Gral der Cybersicherheit zu erreichen: Herdenimmunität.

Genau wie beim Coronavirus kann es durchaus sein, dass neue Varianten auftauchen. Wenn es um Hacker geht, ist es unmöglich, all die verschiedenen Tricks und Kniffe aufzudecken, die sie sich einfallen lassen, da sie in der Regel allen einen Schritt voraus sind.

Die einzige Möglichkeit, sich in diesem technologischen Wilden Westen zu schützen, besteht darin, die Situation als zusätzliche Chance zu begreifen, die Innovationsschranken zu durchbrechen.

Diesen Artikel auf SILICON.FR Lesen