Eingliederung in hybride Teams
Sicheres Onboarding
Aus Sicht der IT ist beim Onboarding neuer Beschäftigter die Cybersicherheit von entscheidender Bedeutung. Es gilt, neue Kollegen mit den Sicherheitsrichtlinien der Organisation vertraut zu machen. Dabei ist es wichtig, dass die Trainings nicht nur allgemeine Regeln vermitteln, sondern auf die spezifische Position des Neuzugangs im Unternehmen eingehen.
Security-Trainings sollten neue Beschäftigte für ihre eigene Verantwortung und die spezifische Art der Angriffe sensibilisieren, die sie in ihrer neuen Position zu erwarten haben. Mitarbeiter stellen insbesondere deshalb ein Sicherheitsrisiko dar, weil sie sich meist nicht darüber im Klaren sind, welche Folgen mit dem einen oder anderen Mausklick verbunden sein könnten. Ziel des Sicherheitstrainings sollte daher sein, Beschäftigte in die Lage zu versetzen, bösartige Links zu identifizieren und an die zuständige Stelle im Unternehmen weiterzuleiten. Auch der richtige Umgang mit Informationen sollte Teil des Trainings sein, damit die Trainierenden wissen, wie sie zum Beispiel mit fälschlich erhaltenen Mails umgehen sollen.
Es ist unerlässlich für Unternehmen, den Erfolg ihrer Schulungsmaßnahmen regelmäßig zu kontrollieren. Im Falle von Cybersicherheitstrainings stellen Fragebögen oder andere reine Wissenstests keine ausreichende Kontrollmaßnahme dar. Vielmehr müssen Unternehmen möglichst realitätsnahe Test-Phishing-E-Mails einsetzen, um zu kontrollieren, ob die Beschäftigten tatsächlich gegen die aktuellsten Formen von Cyberangriffen gewappnet sind.
Dies klingt in der Theorie gut, die Praxis sieht jedoch oft anders aus. Bei vielen Testprogrammen erhalten Beschäftigte gefühlt wahllos Test-Phishing-E-Mails. Das raubt besonders denjenigen Zeit und Energie, die sich bereits mehr oder weniger richtig verhalten. Für ein erfolgreiches Training ist eine gewisse Wiederholung durchaus sinnvoll. Dabei sollten Verantwortliche aber darauf achten, dass wiederholte Tests ohne spezifische Zielsetzung zu einem gewissen Grad an Sicherheitsblindheit führen können. Besser ist es, weniger Tests zu versenden und die Fehler genau zu analysieren: Gibt es Cluster und wenn ja, wo befinden sie sich? Welche Geschäftsbereiche sind am häufigsten von Fehlern betroffen und wie lässt sich dies dem allgemeinen Sicherheitsrisiko zuordnen? Ein wiederholter Ausfall im Marketing hat andere Auswirkungen als ein Ausfall in der Finanzabteilung.
Die Test-Phishing-E-Mails sollten dabei genauso spezifisch aufgebaut sein wie die Sicherheitsschulungen. Ein Sachbearbeiter in der Finanzabteilung zum Beispiel sollte eine Test-Mail erhalten, die wie eine Rechnung aussieht, die der realen Rechnung eines Lieferanten gleicht. So lässt sich prüfen, wer auf den Trick hereinfällt.
Mit ihren Tests sollten die IT-Verantwortlichen auch Führungskräfte in die Pflicht nehmen. Diese sehen Cyberbedrohungen oft als untergeordnetes Problem an – und genau darauf setzen kriminelle Akteure. Für sie sind Manager ein attraktives Ziel, weil Angreifer bei deren erfolgreicher Kompromittierung den größten finanziellen Schaden innerhalb eines Unternehmens anrichten können. Bei kompromittierten Daten von Angestellten ist der Schaden eher gering und leicht zu korrigieren, während erfolgreiche Angriffe auf die Führungsebene Verluste in mehrstelliger Millionenhöhe verursachen können.
Die Belegschaft bildet gerade in hybriden Arbeitsumgebungen eine wichtige Verteidigungslinie gegen Cyberkriminalität. Allerdings stellt eine solche Umgebung auch technisch besondere Anforderungen. Insbesondere haben drei Punkte für die Infrastruktur höchste Priorität: ein sicherer und zuverlässiger Zugang zur Unternehmensinfrastruktur, die Sicherung der Endgeräte und ein effizientes Identity-Management.
- Sicheres Onboarding
- Sicher verbunden ohne Vertrauen
Lesen Sie mehr zum Thema
