Im Gespräch: 3 Fragen an den IT-Sicherheitsbeauftragten
29.04.2022 - Industrie 4.0, Produktion, Technologie
Das Thema IT-Sicherheit hat während der Corona-Pandemie erheblich an Bedeutung gewonnen. Die veränderte weltpolitische Lage wird zu einer weiteren Zunahme von Cyberangriffen führen. Bereits jetzt hat die Anzahl von Angriffen auf mittelständische Unternehmen z. B. via Ransomware und Phishing-Mails drastisch zugenommen. Dabei nutzen Kriminelle nicht nur technische Schlupflöcher, sondern vor allem auch die fehlende Sensibilisierung für IT-Sicherheit innerhalb der Unternehmen aus. Wir haben mit unserem IT-Sicherheitsbeauftragten Olaf Jäger gesprochen, wie sich Unternehmen vor Angriffen schützen können.
Lieber Herr Jäger, Studien wie z. B. der Bericht zur Lage der IT-Sicherheit in Deutschland 2021 [www.bsi.bund.de] verdeutlichen, dass das Thema Cybersicherheit immer wichtiger wird. Zudem betonen die Studien einstimmig, dass es neben technischen Lösungen vor allem auf die Aufklärung von Mitarbeiterinnen und Mitarbeitern ankommt.
1. Können Sie kurz erläutern, welche Rolle Mitarbeiterinnen und Mitarbeiter im Sicherheitsgefüge von Unternehmen spielen?
Die Sensibilisierung der Beschäftigten ist das entscheidende Kriterium, um künftige Attacken schon von Beginn an zu vermeiden. Denn technische Schwachpunkte in externen Netzwerkzugängen werden immer seltener oder sind nur mit sehr großem Aufwand zu umgehen.
Daher fokussieren sich immer mehr Kriminelle auf die Schwachstelle Mensch. Zwar gibt es in den Unternehmen längst Sicherheitsstandards, für Mitarbeiterinnen und Mitarbeiter bedeuten sie aber allzu oft weniger Komfort. Oder anders ausgedrückt: Bislang einfache Abläufe werden als scheinbar unnötig verkompliziert empfunden. So geht die notwendige Sorgfalt schnell verloren und die Sicherheitsarchitektur gerät ins Wanken.
Immer mehr Kriminelle fokussieren sich auf die Schwachstelle Mensch.
Olaf Jäger, Informationssicherheitsbeauftragter (ISB)
Auf der anderen Seite wissen wir natürlich auch, dass gerade Angriffe über Social Engineering [www.bsi.bund.de] immer professioneller gestaltet werden. Gemeint sind Phishings-E-Mails mit schädlichem Inhalt, die so passgenau daherkommen, dass sie im Alltag schnell geöffnet und ein angehängtes Dokument oder eingebundener Link ebenso schnell angeklickt sind. Der darin enthaltene Schädling kann sich dann mit sehr hoher Geschwindigkeit in einem Netzwerk ausbreiten – ganz egal, ob derjenige per VPN verbunden ist oder direkt mit dem Büro-Netzwerk.
Immer beliebter werden übrigens auch WhatsApp-Nachrichten eines vermeintlich Bekannten, die mit einem Vorwand getarnt dazu auffordern, Zugangsdaten zu nennen. Oder Anrufe von angeblichen Service-Mitarbeitern großer IT-Firmen, die vorgeben, auf dem Rechner des Angerufenen etwas überprüfen zu wollen. Auch in solchen Situationen gibt es Mitarbeiter, die nicht argwöhnisch genug sind und in die Falle tappen.
2. Was müssen Unternehmen Ihrer Meinung nach tun, um solche Angriffsszenarien zu vermeiden?
Aufklären, Aufklären, Aufklären. Es geht darum, über die gesetzlichen Schulungspflichten hinaus ein Sicherheitsbewusstsein im täglichen Verhalten jedes Einzelnen zu etablieren. Das ist nicht leicht und auch nicht mit einem einzigen Kurs oder einer E-Mail getan. Wir sprechen hier von einem stetigen Lernprozess bzw. einem kontinuierlichen Aufklärungsauftrag an die Unternehmen.
Wir schulen unsere Teams z. B. jedes Jahr, versenden regelmäßige Informations-E-Mails und arbeiten bereits an weiteren Formaten.
Die Kurse sind für alle verpflichtend und nicht immer willkommen. Vor allem dann, wenn Mitarbeiter in Projekten involviert sind, in denen gerade großer Zeitdruck herrscht. Umso mehr Wert legen wir darauf, Schulungen kurz und relevant zu halten. Bewährt hat sich dabei die Einbindung praktischer Beispiele – also die Skizzierung von Vorfällen aus der jüngeren Vergangenheit. Solche Berichte wecken die Aufmerksamkeit und bleiben bekanntermaßen besser im Gedächtnis haften als pure Theorie.
3. Haben Sie abschließend noch ein paar zusätzliche Tipps für unsere Leserinnen und Leser, z. B. für die Kursgestaltung?
Unbedingt. Ich denke da z. B. an die Entwicklung von kleineren Multiple-Choice-Tests. Kursteilnehmer erzählen uns immer wieder, dass ihnen unsere abschließende Quiz-Fragerunde manche Dinge erst richtig verdeutlicht hat. Zudem arbeiten wir aktuell an Plänen, diese Schulungen zusätzlich im internen Netzwerk als Selbstlern-Einheiten anzubieten – die kleinen Tests inklusive.
Es ist wichtig, verschiedene Formate anzubieten und regelmäßige Präsenzveranstaltungen mit Online-Angeboten zu kombinieren. Und zu guter Letzt bedarf es eines verlässlichen und wertschätzenden Ansprechpartners, denen Mitarbeiter verdächtige Vorkommnisse melden können und von dem sie ein qualifiziertes Feedback erhalten. Auch das stärkt das Einschätzungsvermögen und schult genau das, worum es letztlich geht: ein gesundes Misstrauen.
Basisregeln: Informationssicherheit & Datenschutz
Mit diesen IT-Sicherheitsthemen sollten sich Ihre Mitarbeiterinnen und Mitarbeiter auskennen:
Olaf Jäger, IT-Sicherheitsbeauftragter
Technische Infrastruktur, Datensicherheit und Datenschutz, Web-Programmierung & Co.: Das sind nur einige Themen, mit denen sich Olaf Jäger richtig gut auskennt. Gestartet als Software-Entwickler, ist er inzwischen seit vielen Jahren im technischen Umfeld der PSI Automotive & Industry tätig, unser Datenschutz-Koordinator und Informationssicherheitsbeauftragter (ISB) und langjähriges Mitglied unseres Betriebsrats. Sein Antrieb: immer wieder neue Herausforderungen suchen und sich erst dann zufriedengeben, wenn das Thema vollständig durchdrungen ist.
Jasmin Erfurt
Redaktion PSI Automotive & Industry
Jasmin Erfurt weiß, am Ende sind die besten Geschichten immer die, die in Erinnerung bleiben. Das gilt für die Online-Welt ebenso wie in Social Media, Print, Film, Foto oder Radio. Aus allen diesen Bereichen bringt die studierte Medienwissenschaftlerin Erfahrungen und vielfältiges Know-how mit. Und weil ihr Herz auch für intelligente Software, neue Technologien und Autos schlägt, ist sie einfach ein Perfect Match für unser Marketing-Team.
