Wenn man heutzutage im Internet nach Informationen sucht, die die häufigsten Ursachen für IT-Sicherheitsvorfälle aufzeigen, erhält man je nach Studie und Auftraggeber unterschiedliche Zahlen. Ein Anbieter von Sicherheitsschulungen behauptet beispielsweise, dass menschliches Versagen zu 95 % für Sicherheitsvorfälle verantwortlich ist. Ein Hersteller von Hard- und Software hingegen gibt an, dass in Deutschland 24 % der Verstöße auf Systemfehler und 19 % auf menschliches Versagen zurückzuführen sind. Es kann vermutet werden, dass die tatsächliche Zahl der IT-Sicherheitsvorfälle, die durch menschliches Fehlverhalten verursacht werden, irgendwo dazwischen liegt. Was jedoch definitiv festgestellt werden kann, ist, dass die Angriffe auf kleine und mittelständische Unternehmen auch in diesem Jahr weiter zunehmen oder auf einem hohen Niveau bleiben werden.
Um Angriffe erfolgreich durchzuführen, bevorzugen Angreifer Methoden, bei denen sie Mitarbeiter einbeziehen. Phishing, Vishing, Smishing und CEO Fraud zielen alle darauf ab, emotionale und soziale Aspekte des Menschen anzusprechen, um gewünschte Handlungen auszulösen. Die Angreifer schüren gezielt Ängste in Bezug auf den Arbeitsplatzverlust, den Verlust des sozialen Status oder finanzielle Einbußen. Während vor einigen Jahren grammatikalische und orthografische Fehler in E-Mails ein Merkmal solcher Angriffe waren, werden heutzutage immer ausgefeiltere und schwerer erkennbare E-Mails mithilfe von künstlicher Intelligenz (KI) entworfen. Gestohlene E-Mail-Konversationen und Beziehungen aus sozialen Netzwerken wie LinkedIn oder Facebook werden genutzt, um Phishing-E-Mails zu generieren. Mit Hilfe von Stimmproben ist es heute auch möglich, die Sprechweise von Personen nachzuahmen und somit eine ganz neue Form des Vishing durchzuführen. Welcher Mitarbeiter würde nicht den telefonischen Anweisungen des Vorgesetzten Folge leisten, wenn ihm mit Kündigung gedroht wird? Mit der fortschreitenden Entwicklung neuer Technologien wie KI steigt die Anforderung an die Mitarbeiter, Echtes von Falschem zu unterscheiden.
Um diese Herausforderung zu bewältigen, kann man den Mitarbeitern eine Plattform bieten, um sich in diesem Bereich weiterzubilden. Dabei ergeben sich mehrere Herausforderungen, die bewältigt werden müssen:
- Die Inhalte der Schulungen müssen didaktisch sinnvoll aufbereitet sein, um das darin enthaltene Wissen zu vermitteln.
- Die Schulungen sollten so gestaltet sein, dass sie die Mitarbeiter ansprechen und die Dringlichkeit des Themas IT-Sicherheit vermitteln.
- Es sollte eine Kontrollinstanz geben, die die vermittelten Inhalte und den Lernerfolg überprüfen kann.
- Es ist wichtig, eine Dokumentation der vermittelten Inhalte zu erstellen und die Mitarbeiter zu schulen.
Besonders im Hinblick auf eine Cyber-Security-Versicherung oder eine Zertifizierung nach beispielsweise ISO 27001 sind die letzten Punkte von Interesse. Die meisten kleinen und mittelständischen Unternehmen können diese anspruchsvolle Aufgabe nicht mit eigenen Ressourcen bewältigen. Daher stellt eine gute und fundierte Schulung der Mitarbeiter in Bezug auf das Bewusstsein für IT-Sicherheit eine kostengünstige Investition in die Sicherheit des Unternehmens dar.
Um solche Maßnahmen ohne großen Aufwand umsetzen zu können, bieten einige Unternehmen im Bereich IT-Sicherheit ihre Dienstleistungen an. Hier gibt es verschiedene Ausprägungen, die sich nicht nur im Preis widerspiegeln, sondern auch in der Art und dem Umfang der angebotenen Dienstleistungen. Einige Dienstleister bieten beispielsweise monatliche Berichte über E-Mail-Adressen und deren Identitäten innerhalb der eigenen Domain sowie entsprechende Informationen über Vorfälle in relevanten Listen an, während andere lediglich die grundlegenden Schulungen anbieten. Es gibt also eine Vielzahl von Anbietern mit unterschiedlichen Leistungen.