Keine IT-Sicherheitslösung ist zu 100 Prozent sicher. Schaut man sich die vielfältigen Angriffsarten an, setzen gerade Social Engineering-Attacken auf soziale Manipulation – also den Menschen als Schwachstelle für eine erfolgreiche Attacke.

Neben Angriffen wie Phishing, bergen CEO-Fraud– und Whaling-Attacken genau hier große Gefahren. Ihr Ziel ist es, Mitarbeiter eines Unternehmens zu täuschen, um an vertrauliche Daten wie beispielsweise Passwörter zu gelangen. Die Angreifer üben dazu emotionalen sowie zeitlichen Druck aus, um schneller an ihr Ziel zu gelangen. Laut einer Befragung von „KnowBe4“ gaben 77 Prozent der Befragten als Hauptursache für Angriffe im Jahr 2018 Social Engineering an – eine ernstzunehmende Erkenntnis.

Denn ein Klick auf eine vermeintlich seriöse E-Mail, die Verwendung (unbekannter) externer Datenträger, der Einsatz von unsicheren Passwörtern und schon kann es um die unternehmensinterne IT geschehen sein. Oftmals ohne Absicht, sondern eher durch Naivität oder Unwissenheit, gefährden Mitarbeiter ihr Unternehmen. Es fehlt die Sensibilisierung für solche Sicherheitsrisiken und das Wissen um ihre Vermeidung. Durch sogenannte „Security-Awareness-Trainings“ werden Mitarbeiter für Themen der IT-Sicherheit sensibilisiert. Ihnen werden verschiedene Angriffsarten zu Gemüte geführt und Ratschläge gegeben, wie sie sich und das Unternehmen davor schützen können.

Aber das Wissen um das richtige IT-Sicherheitsverhalten ist das eine, den Grund dafür zu verstehen ist das andere. Die Ausmaße eines Datenleaks oder Hackerangriffs scheinen vielen nicht bewusst. Und darüber hinaus: Warum sollte es gerade mich treffen? Eine Security-Awareness-Schulung sollte daher nicht nur Was- und Wie-Fragen beantworten können, sondern auch das „Warum“ und „Wieso“ in den Fokus stellen. Mitarbeiter müssen verstehen, welche Auswirkungen ein Hackerangriff haben kann und was sie selbst tun können, um diese zu vermeiden. Dabei ist es wichtig, dass IT-Sicherheit nicht nur firmenbezogen, sondern übergreifend gelebt wird, denn auch die private Sicherheit hat Einfluss auf die Unternehmenssicherheit. Generell sollte eine Schulung ausgewählte Awareness-Aspekte zum Thema haben.

So könnte es ein Ziel sein, dass Mitarbeiter nach der Schulung eine der folgenden Fragen sofort beantworten können:

• Wie sieht die aktuelle Bedrohungslage aus?
• Welche Risiken ergeben sich für das Unternehmen und den Mitarbeiter?
• Welche Schutzmaßnahmen muss ich im Fall einer Nutzung eines externen Datenträgers ergreifen?
• Welche Gefahren ergeben sich durch soziale Netzwerke?
• Wie gehe ich sicher mit meinen E-Mails und Passwörtern um?
• Was ist Phishing und wie läuft eine entsprechende Attacke ab?
• Wie verhalte ich mich bei Malware-Befall?