Mehr denn je kommt es auf eine erhöhte Cyber Security Awareness an. Vor allem, da durch die vermehrte Arbeit im Homeoffice und Remote das Risiko für „menschliches Versagen“ steigt. Zusätzlich sorgt die zunehmende Vernetzung von OT und IT dafür, dass auch die Industrie verstärkt ins Visier von Angreifern gerät. Wie lässt sich das Sicherheitsbewusstsein effektiv schärfen?
Supply-Chain-Attacken, Spear Phishing, Social Engineering, Deep Fakes und vieles mehr – die Bedrohungslage bleibt angespannt. Gerade die durch die Coronakrise ausgelösten hektischen Digitalisierungsinitiativen haben zu einer vergrößerten Angriffsfläche geführt.
Laut der KPMG e-Crime Studie bleibt der Mensch dabei das Einfallstor Nr. 1:
Was ist Security Awareness?
Der Begriff „Security Awareness“ (engl. für „Sicherheitsbewusstsein“) beschreibt die Sensibilisierung der eigenen Mitarbeitenden zu Themen wie IT-Sicherheit, Cyber Security und Datenschutz. Und seit jeher gilt: Die technischen und organisatorischen Sicherheitsmaßnahmen können noch so hoch sein – wenn der Faktor Mensch nicht beachtet wird, können sie allein nicht vollständig greifen.
Sicherheitsbewusstsein und Prävention stärken
Aber wie kann man die Security Awareness effektiv erhöhen und die Mitarbeitenden zu starken Gliedern der Abwehrkette formen? Am besten, indem man für eine umfassende Aufklärung sorgt. Denn erst, wenn alle über mögliches Fehlverhalten wie auch aktuelle Bedrohungen in puncto Datenschutz, IT- und OT-Security informiert sind und entsprechend handeln können, weisen Unternehmen ein ausreichend hohes Sicherheitsbewusstsein auf.
Somit ist die Security Awareness zur erfolgreichen Prävention von Cyberattacken unverzichtbar: Jeder Mitarbeitende muss sich bewusst sein, dass die Sicherheit der IT-Infrastruktur und Unternehmens-Assets auch von seinem eigenen Verhalten abhängt.
Warum es für OT ein erweitertes Sicherheitsbewusstsein braucht
Das Sicherheitsbewusstsein ist im Bereich der OT (Operational Technology) allgegenwärtig und in Form von Schutzhelmen, -brillen und -schuhen auch in vielen Bereichen gut sichtbar. Diese funktionale Sicherheit (als Safety bezeichnet) genießt noch vor der Produktivität die höchste Priorität in der OT. Denn der Schutz von Mensch und Umwelt steht an erster Stelle.
Dieses Sicherheitsbewusstsein muss nun um die Belange der IT- und Netzwerksicherheit (Security) ergänzt werden. Denn durch Fernwartungszugriffe der Maschinenhersteller und die verbreitete Verwendung von IP basierten Netzwerkprotokollen nimmt die Vernetzung zu – und damit auch die Möglichkeiten, in OT-Netzwerke einzudringen. Das Fatale dabei: Einmal eingedrungen, stehen in den meisten OT-Netzwerken keinerlei Schutzmechanismen zur Verfügung, um den Angriff zu erkennen, geschweige denn darauf zu reagieren.
Mehr Cyber Security Awareness für OT gefordert
Dabei ist das Gefahrenpotential ähnlich, aber spezieller gelagert. Im OT-Bereich geht es vielmehr um ein besseres Verständnis für:
- Das Erkennen und Vermeiden von Cyber-Sicherheitsrisiken in einer Betriebstechnologie-Umgebung
- Praktiken rund um die Cyber-Sicherheit und den Schutz in Umgebungen der Betriebstechnologie
- Die Gründe, warum in der Betriebstechnik ein erweitertes Sicherheitsdenken als in der Unternehmens-IT erforderlich ist
So muss Cyber Security Awareness besser an die Bedürfnisse des OT-Umfeldes adressiert werden. Ganz besonders dann, wenn es um den Schutz kritischer Infrastrukturen (KRITIS) wie z. B. Stromnetze oder die Wasserversorgung geht.
Die gute Nachricht lautet: Genau wie für die IT, gibt es auch OT Security Awareness Trainings, die sich den speziellen Anforderungen dieses Bereichs widmen.
Wie Security Awareness Training Menschen sensibilisiert
Die Sensibilisierung der Mitarbeitenden durch Security Awareness Trainings stellt einen wichtigen Baustein in der Cyber-Security-Strategie eines jeden Unternehmens dar. Auch im IT-Grundschutzkatalog des BSI und der ISMS-Zertifizierung nach ISO 27001 findet sich die Maßnahme als Vorgabe wieder. Genauso kommt es im Bereich der OT auf spezielle Trainings an. Aber wie können die möglichst erfolgreich sein?
Umfassende Einbindung: Alle notwendigen Interessenvertreter sollten umfassend in die Konzeption und Umsetzung eingebunden sein – was Führungskräfte und die IT-Sicherheitsabteilung mit einschließt.
Gezielte Förderung: Es gilt, die Mitarbeitenden gezielt zu fördern und zu fordern.
Hohe Kontinuität: Statt auf ein einfaches Training allein, sollte man auf einen Dreiklang aus wiederholenden Trainings-, Test- und Analyseeinheiten setzen.
Aktives Lernen: Das Training sollte Mitarbeiter aktiv in Lernprozesse einbinden, auf die Kultur der Organisation, die Funktionen, Sicherheitsfreigaben, Stärken, Schwächen und Lerntyppräferenzen der Mitarbeiter zugeschnitten sein.
Keine Überforderung: Gut portionierte Themenblöcke erleichtern das Lernen – die relevanten Inhalte sollten leicht verständlich in regelmäßigen Abständen und über längere Zeiträume vermittelt werden.
Durch Kontinuität die Cyber Security Awareness schärfen
Sie merken: Bei ausreichendem und kontinuierlichem Training festigt sich das Wissen um die Risiken im Bereich der IT wie auch OT im Bewusstsein der Mitarbeitenden. Im besten Fall ensteht ein natürlicher Reflex, der in verdächtigen Situationen automatisch und richtig reagiert.
Coachen Sie also Ihre Human Firewall und erreichen Sie mit Security Awareness Training mehr Sicherheits- und Risikobewusstsein im eigenen Unternehmen. Falls Sie mehr über das Thema erfahren möchten, können Sie mich gerne und jederzeit kontaktieren.
Whitepaper: Sicherheitskonzept für industrielle Anlagen
Angriffe in IT-Systeme betreffen heutzutage nicht mehr nur den Enduser. Vielmehr sind immer öfter Industrieunternehmen betroffen und das vermehrt am Herzstück ihres Business: der Produktionsanlage. Mit unserem Whitepaper wollen wir Sie über die richtigen Lösungen gegen IT- und OT-Schwachstellen in der Ära des industriellen Internet of Things informieren.
Whitepaper: Cyber Security Awareness
Dass Cyberangriffe sich zu einer solch immensen Bedrohung für Unternehmen entwickeln konnten hat nicht zuletzt eine Ursache: nach wie vor besteht bei der Belegschaft eine hohe Anfälligkeit für manipulative Ausspähversuche. Nur wenige – zu wenige – Mitarbeiter sind sich der Risiken des Cyberspace tatsächlich bewusst und in der Lage zu erkennen, wenn ein Unberechtigter versucht, an ihre Nutzerdaten zu gelangen.