Security Awareness in der Praxis

So begeistern Sie für IT-Sicherheit

Trocken, langweilig, schnell wieder vergessen – so müssen Security-Awareness-Schulungen nicht sein. Wir haben einige Beispiele aus der Praxis für Sie gesammelt.
Von 
CSO | 27. Juli 2022 05:00 Uhr
Mithilfe von Security-Awareness-Trainings in Form vom Spielen, können CISOs die Mitarbeiter dafür motivieren, ihr Wissen regelmäßig zu prüfen und auszubauen.
Mithilfe von Security-Awareness-Trainings in Form vom Spielen, können CISOs die Mitarbeiter dafür motivieren, ihr Wissen regelmäßig zu prüfen und auszubauen.
Foto: Wpadington - shutterstock.com

Neun von zehn Unternehmen waren in den vergangenen zwei Jahren von Cyberangriffen betroffen. Jährlich 223 Milliarden Euro Gesamtschaden entstehen der deutschen Wirtschaft inzwischen durch Datendiebstahl, -Spionage und Sabotage. Die Schadenssumme ist mehr als doppelt so hoch, wie noch in den Jahren 2018 und 2019. Mehr als vervierfacht haben sich Erpressung, Systemausfälle und Betriebsstörungen. Das sind die Ergebnisse einer repräsentativen Studie des Digitalverbands Bitkom, für die mehr als 1.000 Unternehmen quer durch alle Branchen befragt wurden.

Selbst wenn Betroffene schnell reagieren, kann der Schaden groß sein, wie das Beispiel eines Unternehmens aus der Automatisierungsbranche zeigt: Die baden-württembergische Firma Pilz ist im Herbst 2019 Opfer eines schwerwiegenden Cyberangriffs geworden. Die Hacker verschlüsselten systemrelevante Daten auf Servern und Rechenzentren weltweit. Weder das Festnetztelefon funktionierte, noch die E-Mail-Kommunikation oder das systemgesteuerte Öffnen der Fabriktore. Die 2.500 Mitarbeitenden konnten weder auf ihre Terminkalender zugreifen, noch auf Patentlizenzen, Kundenkontakte, technische Zeichnungen oder andere Dateien auf ihren Rechnern.

Für die Freigabe der Daten verlangten die Angreifer ein Lösegeld. "Der Schock saß tief. Aber wir wollten nicht bezahlen und uns nicht erpressen lassen", erzählte Geschäftsführer Thomas Pilz im Frühjahr dem Südkurier. 5,7 Millionen Euro habe es den Betrieb gekostet, die IT-Arbeitsumgebung wieder aufzubauen. Laut Pilz ein Vielfaches von dem, was die Hacker gefordert hatten. "Es ist keine Schande, gehackt zu werden. Deshalb sind wir damit offensiv umgegangen, um andere Unternehmen zu sensibilisieren." Intern gebe es seither regelmäßig Schulungen und die Beschäftigten würden sehr genau aufpassen. Pilz: "Keiner will, dass das nochmal passiert."

Security Awareness in kleinen Happen

Wie Mitarbeitende lernen können, Cyberbedrohungen zu erkennen, weiß Niklas Hellemann: "Lange Pflichtschulungen erfüllen zwar Compliance-Richtlinien, effektiver ist es allerdings, kleinere Wissenshappen in den Alltag zu integrieren und immer wieder zu wiederholen", sagt der Diplom-Psychologe und Gründer des Cybersicherheits-Startups SoSafe. Größtes Einfallstor für Attacken seien nach wie vor Phishing-Mails. Diese zu simulieren ist essenzieller Bestandteil eines IT-Sicherheitstrainings seines Unternehmens. Dabei werden typisch aussehende Angriffs-Mails versendet. Klickt ein Nutzer auf einen der Test-Phishing-Links, werden ihm die Punkt aufgezeigt, an denen er den Phishing-Versuch hätte erkennen können. Auch die IT-Admins erhalten Informationen darüber, wie das Unternehmen gesamtheitlich bei den Tests abschneidet, um analysieren zu können, wie anfällig es ist.

Als effektive Schulungsmaßnahmen empfiehlt Hellemann außerdem Awareness-Trainings, die ähnlich wie ein Computerspiel funktionieren und mit spielerischen Elementen Wissen vermitteln. Denn bevor Attacken auf IT-Systeme gelingen, findet häufig Social Engineering statt: Angreifer nutzen menschliche Eigenschaften wie Hilfsbereitschaft, Vertrauen oder Respekt vor Autoritäten aus, um sensible Daten zu stehlen oder an Zugangsdaten zu gelangen. Anrufer geben sich beispielsweise als Systemadministrator aus und behaupten, dass sie zur Fehlerbehebung das aktuelle Passwort der Kundendatenbank benötigen.

Sicherheitsbewusstsein in allen Abteilungen

Auch die Ronal Group, ein führender Hersteller von Leichtmetallrädern mit weltweit rund 7.500 Mitarbeitenden, setzt auf Awareness-Trainings, um zu verhindern, dass Mitarbeitende sich von Cyberkriminellen manipulieren lassen. So klärt zum Beispiel ein digitales Lernspiel Mitarbeitende über Social Engineering auf. Das IT-Sicherheits-Training soll auch Produktions-Mitarbeitende erreichen. Da Beschäftigte in der Fertigung nicht über einen PC-Arbeitsplatz verfügen, informiert eine Poster-Kampagne über das E-Learning: Plakate in Kantinen, Werkshallen und Sozialräumen vermitteln anhand von Comics Wissen in Kurzform. Wer den aufgedruckten QR-Code scannt, erhält weitere Informationen. Die digitale Weiterbildung kann mithilfe von Tablets direkt absolviert werden oder an eigens eingerichteten PC-Arbeitsplätzen nahe der Produktion. Ob die Lerninhalte verstanden wurden zeigen Testfragen, die nach Abschluss der unterschiedlichen Kapitel zu beantworten sind. "Wir sehen, dass durch die digitalen Trainings langsam ein echter Kulturwandel beginnt. Von vielen Mitarbeitenden gibt es positives Feedback", resümiert Philipp Leupoldt, der den Bereich Group Learning & Development bei Ronal mitverantwortet.

Angriffstechniken spielerisch kennenlernen

"Social Engineering findet nicht nur in der digitalen Welt statt. Betrüger können auch rein analog, über persönlichen Kontakt vertrauliche Informationen abgreifen", sagt Robert Lohmann vom E-Learning Anbieter IMC, der das Training für Ronal entwickelt hat. "Deshalb ist es wichtig, auch das Sicherheitsbewusstsein von Personen zu schulen, die nicht am PC arbeiten", erläutert der Experte für digitales Lernen.

Durch eine Sensibilisierung von Beschäftigten in der Produktion könne etwa verhindert werden, dass Unberechtigte Zugang zu Fertigungshallen erhalten oder sensible Produktinformationen nach außen getragen werden. Lohmann: "Wer die gängigsten Angriffstechniken kennt, kann Cyberangriffe leichter verhindern." Dabei hilft auch das von IMC entwickelte Serious Game "Cyber Crime Time". Privatnutzer können das Spiel online kostenlos testen. In dem E-Learning schlüpfen Lernende in die Rolle eines Hackers, der an das geheime Rezept eines fiktiven Softdrink-Herstellers gelangen will. Wer das Serious Game spielt, lernt, wie eine Phishing-Mail funktioniert, wie telefonische Attacken gelingen können und erfährt, dass sich persönliche Daten über ein öffentliches W-LAN abgreifen lassen. Die aktive Beschäftigung mit IT-Sicherheit, verbunden mit Spaß am Spielen, soll dazu führen, dass Nutzer sich Lerninhalte einprägen.

Cyberangriffe dem LKA melden

Sollte es Cyberkriminellen gelingen, relevante Daten zu verschlüsseln und für die Freigabe Lösegeld zu fordern, empfehlen die Experten nicht auf die Erpressung einzugehen. Stattdessen sollten Betroffene sich an die Zentrale Ansprechstelle Cybercrime (ZAC) des zuständigen Landeskriminalamtes wenden. Die ZAC nimmt von Behörden und Unternehmen Anzeigen von Sicherheitsvorfällen entgegen und kann über eine eigene Task Force digitale Spuren sammeln sowie polizeiliche Erstmaßnahmen einleiten.

Silke Blumenröder ist freie Journalistin und Kommunikationsberaterin aus Frankfurt am Main.