NIS2 macht Security Awareness Schulungen unerlässlich

Bremen, 24. Juli 2024.

Diese Cybersicherheits-Gefahren gehen von Mitarbeitern aus

Mitarbeiter können in einem Unternehmen sowohl bewusst als auch unbewusst zum Sicherheitsrisiko werden. Die genannte Kaspersky-Studie hat mehrere Szenarien aufgedeckt, die für Unternehmen zur Gefahr werden können.

• Phishing Attacken
  Etwa ein Drittel aller Sicherheitsvorfälle waren darauf zurückzuführen, dass Mitarbeiter unbedacht einen Mailanhang geöffnet haben. Darüber konnte sich dann Malware verbreiten.
  
  
• Fehlerhafte Aktualisierung der Software
  19 % aller Vorfälle konnten darauf zurückgeführt werden, dass Mitarbeiter ihre System- und Anwendungssoftware nicht aktualisiert haben.
  
  
• Besuch unsicherer Websites
  17 % der Vorfälle gingen auf den Besuch einer unseriösen Website zurück.
  
  
• Veraltete Passwörter
  11 % der Mitarbeiter verwenden veraltete oder schwache Passwörter.
  
  
• Bewusste Verstöße
  15 % der Sicherheitsvorfälle aus zwei Jahren fielen auf bewusste Verstöße gegen Sicherheitsregeln durch das IT-Fachpersonal und Nicht-II-Mitarbeiter.
  
  
• Benutzung nicht autorisierter Geräte
  21 % der Vorfälle wurden durch die betriebliche Nutzung nicht autorisierter Geräte verursacht.

In Anbetracht dieser Zahlen ist es für Unternehmen heute unerlässlich, eine gute Cybersicherheitskultur aufzubauen. Das Bewusstsein für die Gefahren und Konsequenzen, die eine unbedachte Handlung mit sich bringen kann, muss fest im Team verankert sein. Ein wichtiger Baustein sind regelmäßige Awareness-Schulungen für Mitarbeiter.

Mit NIS2 werden Awareness-Schulungen verpflichtend

Security Awareness Schulungen werden mit dem Inkrafttreten der NIS2-Richtlinie nun für Unternehmen verpflichtend. Betroffene Firmen müssen nachweisen, dass sie ihre Mitarbeiter ausreichend für die Gefahren aus dem Cyberraum sensibilisiert haben. Dabei sollten die Awareness-Schulungen nicht nur für das IT-Team angeboten werden, sondern für alle Mitarbeiter, die im Büro arbeiten oder anderweitig in Kontakt mit PC- und IT-Systemen des Unternehmens sind. Buchhalter dürfen keine gefälschten Rechnungen akzeptieren. Das Sekretariat darf am Telefon keine sensiblen Daten herausgeben. Der Büromitarbeiter sollte keinen Mailanghang öffnen, von dem er den Absender nicht zu 100 % als vertrauenswürdig einstuft.

Mitarbeiter müssen zu einem integralen Bestandteil der Abwehrstrategie werden

Unternehmen sollten Security Awareness Schulungen nicht nur als reine gesetzliche Verpflichtung sehen. Letztendlich ist die Investition in eine gute Awareness Schulung meistens wesentlich geringer als die Kosten, die durch einen erfolgreichen Cyberangriff auf Sie zukommen.

Die Angreifer entwickeln immer neue Methoden des Social Engineerings. Dabei nutzen sie gezielt menschliche Schwachstellen aus, die dann zu Einfallstoren in die IT- und Netzwerklandschaft der Unternehmen werden.

Durch eine kontinuierliche Weiterbildung der Mitarbeiter können sich Unternehmen sehr gut auf die Bedrohungslage vorbereiten. Umso wichtiger ist es, Sicherheitsschulungen zu einem integralen Bestandteil der Abwehrstrategie gegen Cyberbedrohungen zu machen

BREKOM bietet spezielle Awareness-Schulungen für NIS2-Konformität an

Zu den NIS2-Anforderungen gehört die Einrichtung eines Risikomanagements und einer Risikobewertung, deren wichtiger Teil Awareness-Schulungen für die Mitarbeiter sind. BREKOM führt im Auftrag von Unternehmen simulierte Phishing-Attacken durch. Die Mitarbeiter erleben es anhand einer authentischen Darstellung, wie schnell eine Cyberattacke erfolgreich sein kann.

Cyberattacken treffen Mitarbeiter meistens mitten am Arbeitstag. Die Angreifer wählen den Zeitpunkt oft bewusst aus – am Montagmorgen, wenn viele Mails geöffnet werden und oft vermeintlich nicht die Zeit bleibt, einen Blick auf den Absender zu werfen.