„Cybersecurity muss spannend sein, um Beschäftigte zu erreichen“
Das Thema ist hochaktuell, denn die geschätzten Schäden für die deutschen Unternehmen liegen seit Jahren oberhalb der 200-Milliarden-Euro-Marke. Doch wie können Firmen am besten vorbeugen? Der Kriminalanalyst und Organisationspsychologe Mark T. Hofmann rät Unternehmen, das ganze Thema der Cybersicherheit positiv, inspirierend und persönlich anzugehen: „Um das Verhalten von Menschen zu verändern, muss man sie begeistern. Cybersecurity muss spannend sein, um Beschäftigte wirklich zu erreichen.“ Für Unternehmen heißt das: Sie sollten über die rein technische Sicherheit hinausblicken und eine ‚menschliche Firewall‘ aufbauen.
Teil dieser ‚menschlichen Firewall‘ sind beispielsweise lange und unterschiedliche Passwörter, regelmäßige Updates/Patches, 2-Faktor-Authentifizierung auf jeder Plattform sowie höchste Vorsicht bei externen Anhängen, WLANs und Sticks. Wichtiger Tipp: Immer mit der Maus über einen Link gehen und vor dem Klick unten links schauen, wohin der Link wirklich führt. Vorsicht ist auch auf Geschäftsreisen angesagt: „Nicht selten sehe ich auf Bahnfahrten, dass Leute den Laptop ohne Sperrung stehen lassen und ins Bordbistro gehen“, sagt Mark T. Hofmann: „Besser ist ‚Windows-Taste plus L‘!"
„Um das Verhalten von Menschen zu verändern, muss man sie begeistern. Cybersecurity muss spannend sein, um Beschäftigte wirklich zu erreichen.“
Drei wichtige Trends bei der Cybersicherheit
Wie wichtig die menschliche Firewall ist, zeigt ein Blick auf aktuelle Entwicklungen. Eine der größten Gefahren bleiben Schadprogramme – etwa die „Ransomware“. Die Hacker verschaffen sich Zugang zu den Firmenservern, verschlüsseln alle Daten und das Unternehmen steht still. Nur gegen Zahlung eines hohen Lösegelds geben sie die Daten wieder frei. Ein unerfreulicher Trend ist es, dass manche Hacker ihre Beute auch im Darknet zum Verkauf anbieten. Datenverlust, Vertrauensverlust, Existenzverlust: Das kann die Folge sein, wenn interne Informationen und Kundendaten in falsche Hände gelangen.
Ein zweiter wichtiger Trend ist das „Social Engineering“, das beim menschlichen Verhalten ansetzt. Dies kann auch vermeintlich unangreifbare Profis treffen. Ein Beispiel zeigt, wie trickreich die Betrüger vorgehen: Sie werten LinkedIn-Profile von IT-Verantwortlichen aus. Oft nennen diese in der Rubrik „Skills“ ihre Kenntnisse, auch mit sehr spezialisierten Softwarelösungen. Das nutzt die Phishing-Mail mit einem Betreff wie „Wichtiger Patch für Ihr Programm XRP XYZ“. Überraschend viele Profis vergäßen bei einer so maßgeschneiderten Ansprache ihre eigenen Richtlinien, stellt Mark T. Hofmann fest.
Eine dritte und stark wachsende Herausforderung ist die künstliche Intelligenz. Die Zahl von „Deepfake-Angriffen“ wächst etwa zweistellig.2 Gut zu wissen: Nicht nur Bilder und Videos, auch Voicemails lassen sich mit KI-Anwendungen fälschen. Stimme, Klang, Wortwahl – alles täuschend echt. Misstrauisch sollten Beschäftigte werden, wenn drei Faktoren zusammenkommen: Emotion, Zeitdruck und Ausnahme. Die vermeintliche Führungskraft verlangt wegen eines angeblich drohenden Schadens (Emotion) einen ungewöhnlichen Ablauf (Ausnahme) und schnelles Handeln (Zeitdruck)? Dann sollte man zurückrufen, ein firmeninternes Codewort erfragen oder eine Fangfrage stellen. Auch familienintern ist das bei ungewöhnlichen Hilfeersuchen ein gutes Vorgehen, selbst wenn die Stimme echt klingt und eine richtige Telefonnummer angezeigt wird.
Tipp für Firmenkarten-Verantwortliche: „tote Accounts“ löschen
Ihr Unternehmen nutzt Firmenkarten? Dann sollten Sie die „toten Accounts“ im Blick behalten. Ob beim einmal genutzten WLAN am Flughafen oder einer ausgefallenen Online-Bestellung: Oft werden Accounts angelegt und Kreditkartendaten eingegeben. Und in der Eile vergeben die Beschäftigten ein Passwort auf 1234-Niveau – „ist ja nur für das eine Mal“. Auch hier können Sie gezielt sensibilisieren und ein Stück Cybersicherheit schaffen.
Schöne Ferientage – auch für Cyberkriminelle
„Viele Cyberangriffe scheitern am Kaffeeautomaten oder auf dem Flur“, sagt Mark T. Hofmann. Denn jede Art von Identitätsdiebstahl scheitert an der persönlichen Begegnung. Sonst ließe sich einfach eine direkte Rückfrage stellen: „Soll ich den Betrag wirklich nach Russland überweisen?“ Dann scheitert ein CEO-Fraud ebenso wie der altbekannte Enkeltrick. Die Coronazeit war daher ein Türöffner für Cyberkriminelle, denn fast alle waren im Home-Office – persönliche Treffen fielen weg. Ähnlich ist es in der Ferienzeit und an Feier- und Brückentagen. Vorgesetzte in Urlaub, Sicherheitsteams dünn besetzt: Zu solchen Zeiten haben Cyberkriminelle besonders gute Chancen.
5 Tipps, um Ihr Team für Cybersicherheit zu begeistern
- Proaktiven Ansatz wählen: Holen Sie das Thema raus aus der Pflicht- und Strafecke – „make cybersecurity great again“, wie Mark T. Hofmann zugespitzt sagt. Die Trainings sollten inspirierend und spannend sein, um eine echte Verhaltensänderung beim Team zu fördern.
- Kreative Methoden einsetzen: Es gibt Alternativen zu Vortragsformaten mit textlastigen PowerPoint-Folien. Wie wäre es beispielsweise mit einem monatlichen „Cybersecurity-Podcast“? Oder mit Videos im Stile von TikTok, um die Mitarbeitenden proaktiv zu erreichen?
- Vorbildfunktion wahrnehmen: Führungskräfte sollten selbst ein Bewusstsein für das Thema vorleben. Es ist schwer, Beschäftigte zu veränderten Verhaltensweisen zu motivieren, wenn sich die Führungskräfte selbst nicht an die Vorgaben halten.
- Am Ball bleiben: Von Corona über Ukrainekrieg bis saisonale „Aufhänger“: Cyberkriminelle entwickeln stets neue Methoden, um aktuelle Ereignisse auszunutzen. Um über neu entstehende Risiken auf dem Laufenden zu bleiben, können Sie beispielsweise die Informationen des Bundesamt für Sicherheit in der Informationstechnik (BSI) lesen. Oder einfach zehn Cybersecurity-Seiten in Ihrem bevorzugten sozialen Netzwerk folgen – dann bleibt das Thema ganz automatisch auf dem Schirm.
- „Make it about people, not just about business“: Sprechen Sie nicht nur über Risiken für das Unternehmen, sondern auch über mögliche Folgen für die Beschäftigten und ihre Familien. Mark T. Hofmann: „Bauen Sie nebenbei Themen ein wie ‚3 Methoden, wie Kriminelle Kinder über Computerspiele angreifen‘. Sie werden überrascht sein, wie viele Mütter und Väter mit neuer Begeisterung am Training teilnehmen“.
Mehr von Mark T. Hofmann finden Sie unter www.mark-thorben-hofmann.de