DsiN-Blog

Der IT-Sicher­heitsblog für den Mittelstand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abonnieren:

Spagat zwi­schen Cyber-Sicherheit und unein­ge­schränkter Computernutzung

IT-Security-Awa­­reness ver­sucht den Spagat zwi­schen Cyber-Sicherheit und unein­ge­schränkter Com­pu­ter­nutzung am Arbeits­platz. Bereits mit wenigen, kos­ten­güns­tigen Maß­nahmen lässt sich der Schutz vor Angriffen aus dem Cyber-Raum deutlich erhöhen. Wesentlich dabei ist, die Mit­ar­beiter mit dem not­wen­digen Wissen und Werkzeug zu Cyber-Sicherheit aus­zu­statten und ihre Sinne dafür zu schärfen.

Nahezu jeder fünfte Mit­tel­ständler ist min­destens einmal Opfer eines Cyber-Angriffs geworden. Dies haben die Wirt­schafts­prüfer von Pri­ce­Wa­ter­house­Coopers in ihrer aktu­ellen Umfrage “Wie steht es um die Infor­ma­ti­ons­si­cherheit im deut­schen Mit­tel­stand?“ her­aus­ge­funden. Auch das Bun­des­la­gebild Cybercrime 2013 des BKA und eine BITKOM-Umfrage zeigen, dass fast ein Drittel aller Unter­nehmen Angriffe auf ihre IT-Systeme ver­zeichnet und 40 Prozent der Inter­net­nutzer Com­pu­ter­viren haben. Das Bewusstsein für der­artige Bedro­hungen fehlt im Mit­tel­stand jedoch häufig ebenso wie ange­messene Schutz­maß­nahmen und adäquate Ver­si­che­rungen gegen die Folgen von Cyber-Attacken. Vielmehr wird wei­terhin davon aus­ge­gangen, dass ohnehin nur inter­na­tional agie­rende Kon­zerne betroffen sind. Dabei ent­stehen durch Cyber-Angriffe nicht selten Kosten im sechs- oder sogar sie­ben­stel­ligen Bereich durch Scha­dens­er­satz­an­sprüche, Forensik oder PR-Maß­­nahmen. Für die Opfer kann eine Cyber-Attacke somit exis­tenz­ge­fähr­dende Folgen haben.

Die Mög­lich­keiten zur Absi­cherung vor solchen Angriffen sind viel­fältig. Nicht selten bringen diese Maß­nahmen – etwa die Instal­lation eines Intrusion Detection Systems – jedoch erheb­liche Inves­ti­tionen mit sich. Einen anderen Weg ver­sucht die IT-Security-Awa­­reness. Hier wird im Gegensatz zu anderen Lösungen der Mensch in den Mit­tel­punkt gestellt, schließlich sind es häufig unbe­dachte Hand­lungen von Com­pu­ter­nutzern, die den Erfolg eines Cyber-Angriffs begüns­tigen. So werden die Anhänge von E‑Mails unbe­kannter Absender geöffnet, gut­gläubig Pass­wörter auf dubiosen Web­seiten ein­ge­geben oder zufällig gefundene USB-Sticks mit dem Rechner verbunden.

Diese Ver­hal­tens­muster gilt es mit gezielten Awa­­reness-Maß­­nahmen zu durch­brechen. Arbeit­geber müssen ver­suchen, das Bewusstsein für Gefahren, die durch diese Hand­lungen ent­stehen können, in den Köpfen ihrer Mit­ar­beiter zu ver­ankern. Dies geschieht bei­spiels­weise durch Auf­klärung und Erin­nerung. Dafür können viel­fältige Mittel und Methoden genutzt werden. So gibt es Unter­nehmen, in denen neben Infor­ma­ti­ons­ver­an­stal­tungen auch Schu­lungen zu Sicher­heits­themen statt­finden, deren Inhalte anschließend durch erin­nernde Poster im Büro­ge­bäude oder Intranet-Videos ver­ge­gen­wärtigt werden. Neu­er­dings werden aber auch Comics oder Spiele zum Thema ange­boten – hier ist die Krea­ti­vität der Arbeit­geber gefragt.

Gleich­zeitig stehen die Initia­toren von Awa­­reness-Maß­­nahmen vor der Her­aus­for­derung, bei den Mit­ar­beitern nicht nur auf offene Ohren zu stoßen, sondern diese auch dau­erhaft geöffnet zu halten. Wissen um Cyber-Sicherheit muss nicht nur ein­malig plat­ziert, sondern in den Köpfen ver­ankert werden und — als schwie­rigste Aufgabe — auch zu dau­er­haften Ver­hal­tens­än­de­rungen führen. Schnell werden sonst Sicher­heits­maß­nahmen, die den gewohnten Arbeits­ablauf scheinbar bremsen, als hin­derlich emp­funden und ignoriert.

Um Wege aus dieser Zwick­mühle zu finden, rückt das Thema „IT-Security-Awa­­reness“ seit Kurzem ver­mehrt in den Fokus von Sicher­heits­for­schern und Psy­cho­logen. Außerdem finden ver­mehrt Infor­ma­ti­ons­ver­an­stal­tungen und Tagungen statt.

Auch die Allianz für Cyber-Sicherheit hat Awa­reness zum Leit­thema für den kom­menden Cyber-Sicher­heits-Tag erklärt. Am 22.09.2014 treffen sich im DBB Forum in Berlin zahl­reiche Experten aus Wirt­schaft und Ver­waltung, um Inter­es­sierte über erfolg­reiche Awa­­reness-Maß­­nahmen zu infor­mieren und in offenen Dis­kus­si­ons­runden neue Wege für erfolg­reiche Stra­tegien zu finden. Außerdem wurde ein Arbeits­kreis zum gemein­samen Erfah­rungs­aus­tausch instal­liert, der regel­mäßig tagt.

Inter­na­tional rückt Awa­reness eben­falls in den Fokus: Der Oktober wurde zum European Cyber Security Month (ECSM) erklärt – eine Awa­reness Kam­pagne der Euro­päi­schen Union.

Infor­mieren Sie sich doch einfach mal. Viel­leicht ent­decken auch Sie Mög­lich­keiten, mit deren Hilfe Sie die Awa­reness für Cyber-Sicherheit in Ihrem Unter­nehmen steigern können.

Grafik: © DsiN

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Till Kleinert, BSI

Nach Sta­tionen bei der Deutsche Telekom AG und der Krea­tiv­agentur Sapient Nitro arbeitet Till Kleinert seit 2012 für das Bun­desamt für Sicherheit in der Infor­ma­ti­ons­technik. Dort befasst er sich im Rahmen der Allianz für Cyber-Sicherheit mit redak­tio­nellen Auf­gaben für ver­schiedene Online Kanäle und ins­be­sondere die Web­seite www.allianz-fuer-cybersicherheit.de.

Die Initiative hat es sich zum Ziel gesetzt, deutsche Insti­tu­tionen mit­hilfe ver­schie­dener Angebote beim Schutz vor Cyber-Angriffen zu unterstützen.
Hierfür orga­ni­siert die Allianz für Cyber-Sicherheit regel­mäßig Infor­ma­ti­ons­ver­an­stal­tungen und ver­öf­fent­licht Infor­ma­tionen, z.B. in Form von Good-Practice-Guides oder Malware-Signaturen.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.