…und schon wieder so ein englischer Begriff, der sich so in der Cyber-Sicherheitsszene festgesetzt hat. Awareness kann man hier aber ganz gut übersetzen mit „bewusst machen“ oder „sensibilisieren“. Wofür sensibilisieren? Für die Gefahren oder die kleinen und großen Fallen, die mit der Nutzung von Technologie verbunden sind.
Wir hatten ja bereits gesprochen über Cyber-Security, die auf die Vertraulichkeit, Integrität und Verfügbarkeit Ihrer überlebenswichtigen Daten und Informationen zielt. Cyber-Security meint also die Sicherheit von Technologie, Organisation und Menschen sowie die Schnittstellen und Interaktion zwischen diesen.
Cyber-Security AWARENESS oder „Sensibilisierung“ richtet sich insbesondere auf die Menschen, indem sie aufklärt, erklärt und trainiert. Das Ziel ist es, Gefahren zu erkennen und richtig zu reagieren. Also zu lernen, wie Technologie und Organisation (z.B. Richtlinien und Prozesse) zum Schutz vor Cyber-Kriminalität eingesetzt werden. Mitarbeiterinnen und Mitarbeiter erlangen so die Kenntnisse und Fähigkeiten, die notwendig sind, um sich vor Cyber-Angriffen zu schützen und diese zu verhindern.
Ein wichtiger Aspekt von Cyber-Security Awareness ist das Verständnis von Sicherheitsmaßnahmen und -verfahren, die im eigenen Unternehmen eingesetzt werden, um die Integrität und Vertraulichkeit von Informationen zu schützen. Denn jede Branche und jedes Unternehmen muss für sich selbst festlegen, wie der Schutz der wichtigsten Daten und Informationen erfolgen soll. Es gibt sicher einige grundlegende Standards und technische Lösungen, die viele Unternehmen verwenden.
Ein Beispiel für eine Cyber-Security Awareness-Maßnahme in einem Unternehmen ist das regelmäßige Schulen von Mitarbeitern in sicheren Verhaltensweisen im Internet, wie zum Beispiel das Vermeiden von Klicken auf verdächtige Links und das Verwenden von sicheren Passwörtern.
Oder die Nutzung von Antiviren-Software, mit deren Hilfe schädliche Programme aus dem Unternehmensnetzwerk ferngehalten werden sollen. Über die Länge und Komplexität von Passwörtern oder sogar den Einsatz weiterer Faktoren, um den Zugang zu Informationen nur autorisierten Personen zu ermöglichen, entscheidet letztlich jedes Unternehmen selbst.
Sensibilisierung gegenüber Gefahren alleine reicht jedoch nicht aus. Viel wichtiger ist es, dass alle im Unternehmen an einem Strang ziehen und wissen, wie sie sich RICHTIG verhalten. Das gibt nicht nur dem Unternehmen Cyber-Sicherheit. Sondern auch Mitarbeiterinnen und Mitarbeiter finden es wichtig, sich selbst zu schützen. Vor allem ist es aber wichtig, dass die Erwartungshaltung und die Sicherheitsangebote des Unternehmens den Mitarbeiterinnen und Mitarbeitern bekannt sind.
Dazu gehören auch Themen, bei denen man zunächst nicht an Cyber-Sicherheit denkt. Ich gebe ein praktisches Beispiel: Ihre Mitarbeiter und Kolleginnen sind beruflich auf Linkedin oder Xing aktiv und privat eventuell auf Instagram oder Facebook. Klingt zunächst harmlos, was soll da schon passieren?
- Vielleicht möchten Sie aber verhindern, dass der Besuch von beruflichen und privaten Seiten der sozialen Medien vom Unternehmenslaptop oder Smartphone aus erfolgen. Den Zugang einfach ohne Erklärung zu sperren, löst Unverständnis und eventuell sogar Unwillen aus.
- Außerdem möchten Sie möglicherweise sicherstellen, dass Ihre Mitarbeiterinnen und Kollegen nicht öffentlich zu Geschäftsvorgängen oder gar Personalangelegenheiten Stellung nehmen. Das könnte böse ins Auge gehen.
Warum Ihr Unternehmen die genannten technischen Maßnahmen ergriffen hat oder welche Risiken oder gar Gefahren mit bestimmten Vorfällen oder Verhaltensweisen verbunden sind, ist nur verständlich, wenn es erklärt wird. Und zwar natürlich so, dass die Angesprochenen verstehen, was sich hinter den Entscheidungen und Lösungen verbirgt. Wie die Sicherheitsmaßnahmen konkret in den Arbeitsalltag eingebunden sind und wen man fragen kann, falls eine Situation nicht eindeutig ist. Letztendlich läuft es darauf hinaus, dass Cyber-Security Awareness ein Marketing der eigenen, unternehmensspezifischen Sicherheitslösungen ist.
