Cyberangriffe nehmen kontinuierlich zu und die Attacken werden immer komplexer. Unternehmen, die das Thema Cybersicherheit auf die leichte Schulter nehmen und nicht in ihrer Unternehmensstrategie verankern, laufen Gefahr Opfer von Hackern zu werden. Denn Cyberkriminelle fokussieren nicht mehr nur große Unternehmen, sondern nutzen ihre Attacken, um Daten vermehrt auch von kleinen und mittleren Unternehmen abzugreifen.

Für mittelständische Unternehmen kann so ein Angriff schnell existenzbedrohende Folgen haben. Ein entscheidender Faktor der präventiven Maßnahmen in der IT-Sicherheit ist die Mitarbeitendensensibilisierung. Die Angestellten und die Führungsebene sind oftmals das schwächste Glied in der Cybersicherheitskette. Um das Team in diesem Bereich zu stärken, sollten Unternehmen das Thema IT-Sicherheit in Theorie und Praxis vorantreiben.

Gefahren der Cybersicherheit

Geschulte und sensibilisierte Mitarbeitende können Cyberangriffe besser erkennen und im Idealfall sogar vermeiden. Doch welche Cybervorfälle betreffen kleine und mittlere Unternehmen besonders? Phishing gehört seit Jahren zu den größten Gefahren für Unternehmen. Laut einer aktuellen Studie des Sicherheitsunternehmens Netskope wurde in 2024 fast dreimal so häufig auf Phishing-Links durch Angestellte geklickt, wie im Vorjahr. Bei Phishing-Angriffen nutzen Hacker gefälschte E-Mails, Webseiten oder Suchmaschineneinträge, um an sensible Daten zu gelangen und sich Zugriff zu Unternehmensdaten zu verschaffen.

Auch das Thema Passwortsicherheit ist ein Dauerbrenner in der IT-Sicherheit. Das Verwenden von starken Passwörtern, die regelmäßig geändert werden oder der Einsatz von Passwortmanagern ist bei vielen Mitarbeitenden weiterhin nicht selbstverständlich und bietet für Cyberkriminelle viel Potenzial, um sich Zugang zu den Systemen eines Unternehmens zu verschaffen. Neben Phishing und Passwortsicherheit sind auch Themen, wie der Umgang mit sensiblen Daten, regelmäßige Back-ups und Updates sowie die Nutzung von mobilen Geräten wichtige Aspekte, die in der Mitarbeitendensensibilisierung berücksichtigt werden sollten.

Schulungen und Trainings: Erst die Theorie, dann …

Ein effektiver Weg, um das Thema IT-Sicherheit besser bei den Mitarbeitenden zu verankern, ist das Sicherheitsbewusstsein mithilfe von Schulungen und Trainings zu stärken. Im ersten Schritt müssen Unternehmen entscheiden, ob sie Einzel- oder Gruppencoachings anbieten möchten. Idealerweise werden vorab die Vorkenntnisse in dem Bereich Cybersicherheit abgefragt, um die Inhalte bestmöglich auf die Bedürfnisse der Mitarbeitenden abzustimmen und so einen Mehrwert zu schaffen. Da in den meisten Fällen das Vorwissen der Mitarbeitenden stark variiert, sollten Unternehmen in Betracht ziehen, gezielte Schulungen anzubieten, die auf den jeweiligen Wissensstand und Arbeitsbereich zugeschnitten sind. Wenn dies aus Ressourcengründen nicht möglich sein sollte, können auch Workshops und Trainings von Drittanbietern in Frage kommen.

Ziel der Schulungen ist, das Sicherheitsbewusstsein der Mitarbeitenden zu erhöhen. Das Team sollte in der Lage sein, Gefahrensituationen zu erkennen. Dafür muss ihnen klar sein, welche Art von Cybergefahren es gibt, welche Merkmale sie haben und welche Konsequenzen die Angriffe haben können.

Ein Plan für den Notfall

Wenn trotz der theoretischen Vorbereitungen im Ernstfall eine Cyberattacke erfolgreich ist, ist ein Notfallplan wichtig, um schnell und effektiv reagieren zu können. Leitfäden und Richtlinien helfen den Mitarbeitenden vorab abgestimmte Maßnahmen einzuhalten und einen klaren Fahrplan für einen Cyberangriff zu haben. Der Notfallplan umfasst unter anderem Informationen wie: Wer ist die erste Ansprechperson im Fall eines Notfalls? Welche Informationen müssen akut dokumentiert werden? Welche Sicherheitskopien stehen zur Verfügung? Welche Maßnahmen müssen sofort ergriffen werden? Diese und noch viele weitere Fragen sollten ausführlich und gewissenhaft beantwortet und kontinuierlich innerhalb des Unternehmens gepflegt werden. Da nicht auszuschließen ist, dass durch einen Hackerangriff das gesamte Betriebssystem betroffen ist, sollte auch immer mindestens eine physische Kopie griffbereit sein.

Für den Ernstfall üben

Damit das theoretische Wissen bei den Mitarbeitenden auch bestmöglich verankert wird, sollten Simulationen und praktische Übungen durchgeführt werden. Denn erst in der Praxis zeigen sich Herausforderungen oder Unklarheiten. Formate, die Mitarbeitende im Bereich Cybersicherheit testen, sind u.a. entsprechende Escape Rooms oder Gamification-Ansätze. In dieser interaktiven Lernumgebung lernen die Teammitglieder unter Druck Bedrohungen zu erkennen und Maßnahmen umzusetzen. Ein Fallbeispiel könnte ein Angriff aus dem Bereich Social Engineering sein. Bei dieser Angriffsform nutzen die Hacker vertrauliche Informationen, die sie über das Opfer im Internet finden, um ihre Opfer zu manipulieren und beispielsweise Überweisungen zu tätigen oder bestimmte Software zu installieren.

Es zeigt sich, dass das Thema Mitarbeitendensensibilisierung komplex, aber unabdingbar ist. Da sich die Cybersicherheit kontinuierlich weiterentwickelt, sollten Trainings und Schulungen in regelmäßigen Abständen neu angeboten und mit aktualisierten Inhalten angeboten werden. Nur so kann das Sicherheitsbewusstsein des Teams gewährleistet werden.

Über den Autor

Marc Dönges leitet die Transferstelle Cybersicherheit im Mittelstand. Die Transferstelle unterstützt kleine und mittlere Unternehmen, Handwerksbetriebe und Start-Ups kostenfrei bei der Prävention, Detektion und Reaktion auf Cyberangriffe. Mit Veranstaltungen, Materialien sowie einer Notfallhilfe und ein breites Partnernetzwerk unterstützt das Projekt Unternehmen bei der sicheren Digitalisierung.