Was hat Security-Awareness eigentlich mit Datenschutz zu tun? Was ist das überhaupt?
Kleine Einführung …
Menschen stellen, neben der Technik selbst, das höchste Risiko für die IT-Sicherheit dar. An dieser Stelle bitte beachten,
IT-Sicherheit ist ein Teil des Datenschutzes. Daher gilt es, dass den Anwendern (mögliche) Bedrohungsszenarien
aufgezeigt und diese somit sensibilisiert werden. Nur so kann das notwendige Sicherheitsniveau gehalten und bestenfalls
verbessert werden.
Viele Unternehmen haben „schöne“ Sicherheitskonzepte und Vorgaben. Aber diejenigen, die dies auch wissen müssen,
wissen es oftmals nicht. Und, wenn überhaupt, nur teilweise. Awareness bedeutet
, dass die Unternehmensführung einen
Plan entwickelt, wie diese notwendigen Kenntnisse plus die Beachtung weiterer (neuer) Risiken alle Mitarbeiterinnen und
Mitarbeitern erreicht.
Und nun?
Es ist offensichtlich, dass eine stetige Sensibilisierung der Mitarbeiter eine sehr gute Grundlage bildet, um gegen
Datenpannen gewappnet zu sein. Sie erinnern sich? Schon nur der Klick auf einen Link in einer positiv lautenden E-Mail
reicht aus, dass ein Unternehmen im nächsten Moment sehr viel Stress hat. Dieser Link hat beispielsweise nicht die
gedachte Website aufgerufen, sondern einen Trojaner installiert.
Mit Technik kann man schon einiges abfangen. Aber am Ende sind es noch immer die Mitarbeiterinnen bzw. Mitarbeiter,
die Entscheidungen treffen.
Was sind übliche Inhalte von einer solchen Security-Awareness-Kampagne?
Natürlich kann man das nicht verallgemeinern. Jedes Unternehmen hat unterschiedliche Schwerpunkte und Bedarfe.
Die Basics sind:
• Sicherer Umgang mit E-Mails
• Richtiges Verhalten bei Schad-Mails
• Bedrohung und Risiken durch Computerviren
• Risken beim Surfen im Internet
• Account-Phishing und andere Abgreif-Methoden
• Erkennen von gefälschten Links in E-Mails oder auch Dokumenten
• Erkennen des korrekten Absenders in Outlook
Wir sind in einer Welt, die sich immer mehr digitalisiert. Gegenüber den vielen Vorteilen müssen aber auch die Nachteile
und Risiken beachtet werden. Der sichere Umgang mit Daten und Informationen ist von zentraler Bedeutung. Egal, ob
privat oder aus Sicht eines Unternehmens. Nur erschwerend muss die Geschäftsführung eines Unternehmens noch den
Datenschutz beachten, der durch solche Risiken massiv bedroht ist.
Es sind nicht nur das (geistige) Eigentum oder andere sensible Kundendaten. Im schlimmsten Fall ist die sogenannte
„Business Continuity“ des Unternehmens bedroht. Kommt es hier zu Problemen oder gar zum Stillstand bedeutet das immer
einen enormen Stress mit oftmals negativem Ausgang. Sehr viele Personen, aber auch Unternehmen, wurden schon mal
Opfer eines Hacker- bzw. Trojaner-Angriffs, Datendiebstahls oder Identitätsdiebstahls.
Leider zeigt sich nach wie vor, dass das Bewusstsein für IT-Sicherheit bei vielen Arbeitnehmerinnen und Arbeitnehmern
nicht ausreichend vorhanden ist. Der Mensch ist noch immer einer der größten Risikofaktoren für die Informationssicherheit.
Fazit?
Ein Unternehmen kann „schnell“ mal einen neuen Virenschutz oder eine bessere Firewall kaufen. Aber das Bewusstsein
und die Sensibilität von Mitarbeitern zu stärken ist ein längerer, vielleicht sogar dauerhafter, Prozess. Aber es ist nie zu
spät. Es muss nur begonnen werden. Eigentlich ist es doch „nur“ Unachtsamkeit bzw. Unwissenheit. In der Regel ist es
kein Vorsatz.
Awareness-Maßnahmen gehören beim Datenschutz in den Bereich der organisatorischen Maßnahmen und stellen auf
jeden Fall eine Stärkung des notwendigen und geforderten Schutzes dar.
Solche Maßnahmen sind in der Regel auch kein Projekt, welches nach beispielsweise 6 Monaten endet. Sie sollten es als
dauerhafte Begleitung betrachten.
Sie haben Fragen? Melden Sie sich bitte bei uns!
Es bleibt spannend