IT-Sicherheit für ALLE: Wie Ihr Unternehmen direkt starten kann!
Jedes Unternehmen sollte das Ziel größtmöglicher IT-Sicherheit im Unternehmen verfolgen. Denkbare Maßnahmen sind vielfältig und können in verschiedene Verantwortungsbereiche unterteilt werden: Themen wie beispielsweise eine sichere IT-Infrastruktur und der Einsatz von Firewalls liegen in der Verantwortung von IT-Fachleuten. Die persönliche Verantwortung der Mitarbeitenden betrifft Themen wie beispielsweise den Umgang mit Passwörtern und E-Mails. Die Bereitschaft der einzelnen Mitarbeitenden, sich zugunsten des Unternehmens mit Themen zu beschäftigen, die über den konkreten Arbeitsbereich hinausgehen, hängt stark von den Werten, Normen und Einstellungen einer positiven Unternehmenskultur ab. Die gelebte Unternehmenskultur liegt maßgeblich in der Verantwortung der Führungsebene.
Stellen wir zwei Szenarien gegenüber.
Im Worst Case-Szenario wird ein Unternehmen erfolgreich angegriffen und beginnt erst zu diesem Zeitpunkt, im eingetretenen Ernstfall, zu handeln. In dieser kritischen Situation werden alle Hebel umgehend in Bewegung gesetzt. Geld spielt oftmals eine untergeordnete Rolle, denn es gilt, den Schaden zu minimieren. Nicht selten drohen erhebliche finanzielle Verluste und auch die Reputation des Unternehmens ist gefährdet. Der Schaden muss behoben oder doch zumindest minimiert werden, koste es, was es wolle. Wie geht es Ihnen bei der Vorstellung eines solchen negativen Szenarios? Vermutlich verspüren Sie zumindest ein Unbehagen.
Im Best-Case-Szenario ist dem Unternehmen bewusst, wie wichtig es ist, die Mitarbeitenden – wo möglich – aktiv einzubinden. Werden sie als größte Sicherheitslücke und wahrscheinlichste Ursache für einen Cyber-Angriff gesehen, ist es unumgänglich, sie für IT-sicherheitsrelevante Themen zu sensibilisieren, zu aktivieren und in der Folge zu qualifizieren. Stellen Sie sich vor, ohne viel Aufwand sofort mit dem Thema starten zu können. Sie tätigen einen Telefonanruf und bekommen die Möglichkeit, Ihre Mitarbeitenden zu verschiedenen IT-sicherheitsrelevanten Themen kostenlos über eine Weiterbildungsplattform zu schulen. Sie definieren im Gespräch die für Ihr Unternehmen priorisierten Inhalte, besprechen den zeitlichen Ablauf, bekommen einen übersichtlichen OnePager als Info für Ihre Mitarbeitenden und legen los. Abschließend erhalten Sie Zertifikate zur Dokumentation der Schulung. Wie geht es Ihnen bei der Vorstellung eines solchen positiven Szenarios? Vielleicht glauben Sie nicht, dass es so einfach sein kann.
Zu starten, kann einfach sein. Genau diese Möglichkeit bietet Ihnen das Projekt „KMU.Einfach Sicher.“ mit seiner Weiterbildungsplattform zu IT-sicherheitsrelevanten Modulen für Mitarbeitende aller Branchen, auch ohne IT-Vorkenntnisse. Die Module behandeln Themen wie Einloggen, Mailen, Surfen im Netz und Reagieren im Ernstfall. Einzelpersonen können sich jeder Zeit kostenlos anmelden und von den Inhalten profitieren. Darüber hinaus gibt es die Möglichkeit, als Unternehmen bei der Weiterbildung des ganzen Unternehmens, einer Abteilung oder einzelnen Mitarbeitenden begleitet zu werden. Ihre Mitarbeitenden werden über die Schulung informiert, erhalten Zugangsdaten, Erinnerungen zur Bearbeitung der Module und zum Abschluss gehen die erworbenen Zertifikate an einen zentralen Ansprechpartner.
Sensibilisierung und Aktivierung für IT-Sicherheit anstoßen. Unternehmen, die dieses Angebot in den vergangenen Monaten bereits genutzt haben, sind von den Inhalten sowie der Umsetzung begeistert und beruhigt, die Aktivierung der Mitarbeitenden bei dem wichtigen Thema der IT-Sicherheit (endlich!) gestartet zu haben. Im Nachgang haben Sie häufig von einem regen Austausch beispielsweise beim Mittagessen unter den Mitarbeitenden berichtet. Auch wurden IT-Verantwortliche häufiger angesprochen und um Ihre Expertise gebeten. Das sind gute Indikatoren für die Sensibilisierung und Aktivierung der Mitarbeitenden. Hundertprozentige Sicherheit gibt es analog zu dem Schweizer-Käse-Modell der IT-Sicherheit nicht. Aber je mehr Käsescheiben beteiligt sind desto schwerer wird es für potenzielle Angreifer.
Ergreifen Sie die Initiative. Den perfekten Zeitpunkt wird es nie geben und auf die unumgängliche Notwendigkeit, im Ernstfall handeln zu müssen, möchten Sie nicht warten. Seien Sie sich bewusst, dass es sich um einen (ersten) Schritt hin zu mehr IT-Sicherheit handelt und diesen Schritt können Sie JETZT tun.
Anja Isenbort
Technologienetzwerk InnoZent OWL e.V.