0212.65 98 5-0

info@systemhaus-erdmann.de

Dienstag, 09 Juni 2015 18:28

IT Security Awareness Kampagne

geschrieben von 

Warum IT Security Awareness so wichtig ist

In den letzten Jahren sind die Bedrohungen aus dem Internet für Unternehmen jeder Größenordnung dramatisch angestiegen. Im Jahr 2013 verursachten Cyber-Attacken weltweite Schäden in Höhe von ungefähr 43 Milliarden US-Dollar. Zwei Millionen Schadprogramme kursieren im Internet. Externe Angriffe auf die Unternehmens-IT werden immer professioneller und raffinierter durchgeführt. Neue Technologien wie die Datenspeicherung in der Cloud führen zu neuen Risiken. Schäden entstehen aber auch durch fahrlässiges oder vorsätzliches Verhalten von Mitarbeitern eines Unternehmens und durch externe Dienstleister. Daher entsteht größtmögliche Datensicherheit nur bei einem optimalen Zusammenspiel zwischen Menschen, die für Sicherheitsfragen sensibilisiert sind, und einer modernen IT-Technologie.

Was ist Security Awareness?

IT Security Awareness bedeutet Sensibilisierung von Mitarbeitern und Führungskräften für das Erfordernis einer größtmöglichen IT-Sicherheit. Viele Mitarbeiter betrachten IT Security als ein trockenes Thema, für das sie selten spontane Begeisterung entwickeln. Das zentrale Ziel einer Security-Awareness-Schulung ist daher, durch praxisnahe Anwendungsfälle und durch eine abwechslungsreiche Darstellung das Interesse für IT-Sicherheit nachhaltig zu wecken.
Zur IT-Sicherheit gehören zwei Bereiche:

  • Die Funktionssicherheit bezieht sich auf die ordnungsgemäße Funktionalität von IT-Systemen und schließt damit eine jederzeitige Zugriffsmöglichkeit auf benötigte Daten ein.

  • Die Informationssicherheit soll Datendiebstahl und Datenmanipulationen verhindern. Unternehmen müssen sicherstellen, dass Daten nur von zugangsberechtigten Nutzern gespeichert und gelesen sowie nicht von Unberechtigten verändert werden. Daher gehört u. a. auch eine eindeutige Nachvollziehbarkeit von Datenänderungen zur Informationssicherheit.

IT-Sicherheit: Nur im Zusammenspiel zwischen sicherheitsbewussten Menschen und technischen Lösungen erreichbar

Allein Firewalls und Antiviren-Software reichen nicht aus, um Computersysteme vor dem Abhandenkommen oder der Beschädigung von Daten oder der unbemerkten Einbeziehung in Bot-Netzwerke zu schützen und die (fahrlässige oder vorsätzliche) Datenweitergabe an Außenstehende zu vermeiden. Jede noch so sorgfältig ausgestaltete IT-Infrastruktur eines Unternehmens kann Schwachstellen aufweisen, die einen Cyber-Angriff ermöglichen. Sicherheitsbewusste Anwender haben die Chance, diese Sicherheitslücken zu erkennen und Gegenmaßnahmen einzuleiten.

IT Security Awareness Kampagnen: Sensibilisierung von Mitarbeitern für die Datensicherheit

Unwissenheit, mangelndes Verständnis und unzureichendes Verantwortungsbewusstsein sind häufig ursächlich für Datenverluste und IT-technische Probleme:
Nahezu drei Viertel aller IT-Sicherheitsverletzungen beruhen auf menschlichem Verhalten.

  • Etwa vierzig Prozent der IT-Angriffe gehen auf externe Hacker zurück.
  • 30 Prozent der IT-Verletzungen beruhen auf fahrlässigem oder vorsätzlichem Handeln von Mitarbeitern oder auch von externen Dienstleistern.
  • Daher rückt die Sensibilisierung von IT-Nutzern zunehmend in den Mittelpunkt aller Bemühungen um maximale Datensicherheit. IT-Security Awareness Kampagnen helfen bei der Entwicklung einer sicherheitsbewussten Grundhaltung von IT-Nutzern, bei der Erkennung von IT-Bedrohungen und bei der Minimierung von Gefahren, die durch Unwissenheit oder Unbekümmertheit entstehen.

Umdenken der IT-Nutzer unerlässlich

Um Gefährdungen für die IT zu reduzieren, ist ein Umdenken der IT-Nutzer unabdingbar.

  • So übermitteln (nach den Erkenntnissen der repräsentativen „Hiscox eDNA Studie 2013“) 41 Prozent aller Unternehmen ihre Daten unverschlüsselt.
  • Das Verhalten am Arbeitsplatz hat für die IT-Sicherheit größte Bedeutung. Wenn Mitarbeiter ihre privaten Endgeräte an unternehmenseigene Server anschließen, dann können leicht Schadprogramme übertragen werden, wenn sich die privaten Nutzer nicht an die Sicherheitsstandards des Unternehmens halten.
  • Es wird geschätzt, dass Datenverluste nur in einem von einhundert Fällen überhaupt entdeckt werden. Dies beruht ganz wesentlich auch auf einer mangelnder Sensibilisierung des IT-Nutzer.

Der Ablauf einer IT Security Awareness Kampagne

Das zentrale Ziel einer Security Avareness Maßnahme ist es, alle mit der IT eines Unternehmens befassten Personen in die Kampagne zu integrieren. An den Schulungsveranstaltungen sollten daher neben den Mitarbeitern der IT-Abteilung und den IT-Sicherheitsbeauftragten auch alle übrigen Mitarbeiter und Führungskräfte teilnehmen.

  • Vor dem Start einer Awareness Kampagne wird anonymisiert ermittelt, auf welchem Niveau sich die Sensibilität hinsichtlich IT und Datenschutz in einem Unternehmen befindet.
  • Während der Security-Awareness-Schulung wird in motivierender Form das Interesse und die Akzeptanz der Mitarbeiter für das Thema IT Security geweckt. Der Wille von IT-Nutzern zur Gewährleistung von Informationssicherheit im Unternehmen ist eine unabdingbare Voraussetzung für ein datensicherheitskonformes Verhalten im Arbeitsalltag.
  • Ein einmaliges Überzeugen der Schulungsteilnehmer vom Thema IT Security reicht nicht aus, um nachhaltige Verhaltensänderungen im Arbeitsalltag zu erzielen. IT-Security-Awareness-Kampagnen zeitigen erst dann einen dauerhaften Erfolg, wenn die Themen Datenschutz und Informationssicherheit innerhalb eines Unternehmens regelmäßig und systematisch behandelt werden.

Eine IT-Security-Awareness-Kampagne führt zu dem notwendigen Sicherheitsbewusstsein

Eine Awareness-Kampagne motiviert Mitarbeiter und Führungskräfte eines Unternehmens zur Durchführung eine umfassenden Analyse interner und externer Schwachstellen und zur Erarbeitung und Einhaltung unternehmensinterner Standards zur Datensicherheit. Auch unter Schaffung persönlicher Betroffenheit realisieren Mitarbeiter die Bedeutung von IT Security. Die Durchsetzung einheitlicher Standards führt zu Handlungssicherheit bei Mitarbeitern, die sich bislang unsicher in Umgang mit Datenschutzregeln waren. IT Security ist nur im Zusammenwirken von für die Datensicherheit motivierten Menschen und einer durchdachten IT-Infrastruktur erreichbar.

Gelesen 3857 mal Letzte Änderung am Freitag, 24 März 2017 10:44
Publiziert in Blog
Nach oben