Selbst perfekte Technik verhindert keine Fehler der Anwender. Wenn Mitarbeiter Gäste am Firmeneingang durch installierte Sicherheitssysteme lotsen oder wenn Buchhalter auf eine Mail des vermeintlichen Vorgesetzten hin Geld überweisen, dann kann das von der Unternehmens-IT nur schwer verhindert werden.

Jedes Unternehmen kann an verschiedenen Stellen ansetzen, um das Bewusstsein der Mitarbeiter für Sicherheit zu stärken und fahrlässiges Verhalten zu erschweren:

Jeder ist wichtig

Die Erfahrung der Selbstwirksamkeit ist wichtig. Wenn sich jeder einzelne Mitarbeiter als Teil der Sicherheitskultur des Unternehmens fühlt, ist jeder eher bereit, verdächtige Vorfälle an die IT-Sicherheitsexperten zu melden. Entsprechend müssen Mitarbeiter einschätzen können, inwieweit sie selbst Informationen auf ihrem Computer vor anderen Personen schützen können.

Persönliche Motivation

Verhaltensforscher wissen, dass Verhaltensänderungen eher dann erfolgen, wenn Menschen verstehen, dass sie ihnen auch persönlich nützen. Beispielsweise kann es auch im persönlichen Umfeld von Vorteil sein, wenn man weiß, wie man mit Phishing-Attacken umgeht. Außerdem motiviert Mitarbeiter, wenn sie merken, wie sie selbst mit relativ wenig Aufwand für ein Mehr an Sicherheit im Unternehmen sorgen können.

Menschenfreundliche IT

Technik allein ermöglicht keine IT-Sicherheit, nur wenn der Anwender mitspielt, können Angriffe abgewehrt werden. So lange die IT als Hürde begriffen wird, die das alltägliche Arbeiten nur erschwert, werden Mitarbeiter geneigt seien, diese Hürden eigenmächtig zu überwinden. Wenn die IT jedoch als sinnvoller Schutz vor Fehlern oder Risiken wahrgenommen wird, könnte eine kooperativere Haltung entstehen.

Nachhaltige Verhaltensveränderungen

Security-Experten sind sich einig, dass das Verhalten von Mitarbeitern im Unternehmen nur langfristig mit verschiedenen Maßnahmen nachhaltig zu ändern ist. Deshalb können die Lerneffekte auch nur langfristig erfasst werden. Eine unmittelbare Erfolgsmessung ist deshalb nicht möglich.

Routinen

Cyber-Angreifer nutzen Routinen im Umgang mit IT-Systemen gerne aus. Gleichzeitig können Schulungen und technische Maßnahmen sich darauf konzentrieren, dass Mitarbeiter auch unter Zeitdruck und Stress unbewusst die sicherere Verhaltensweise wählen. Unterstützt werden kann dies etwa durch verschlüsselten Datentransfer.

Betriebsrat und Personalrat einbeziehen

Für Trainingsmaßnahmen sollten Betriebsrat und Personalrat einbezogen und vorab informiert werden, damit bereits im Vorfeld kritische Fragen geklärt werden können. Beispielsweise könnte mit einem Phishing-Test überprüft werden, wie Mitarbeiter mit E-Mail-Anhängen umgehen. Da es sich dabei um einen Verhaltenstest handelt, muss der Betriebsrat im Vorfeld einbezogen werden. So könnte vereinbart werden, dass Mitarbeiter mit Anonymisierungsmaßnahmen geschützt werden und keine negative Leistungsbeurteilung zu befürchten haben. Hilfreich sind auch positive Anreize wie Belohnungen für gute Ergebnisse.

 

Geschrieben von Nadine Stimmer


Informationssicherheit


Newsletter

Niederlassungen

Brainloop AG
Theatinerstrasse 12
80333 München
Germany
+49 (0) 89 444 699 0