Mitarbeitende für Cybersecurity sensibilisieren
In Zusammenarbeit mit
Aktualisiert am 14.11.2023
Alle müssen wissen, welches Verhalten heikel ist
Ihre Angestellten haben täglich mit den sensiblen Daten Ihres Unternehmens zu tun. Nur wenn alle wissen, welche Verhaltensweisen heikel sein können, lassen sich die Risiken reduzieren.
Sensibilisieren Sie Ihre Belegschaft für Cyberrisiken. Dies gilt sowohl für jüngere wie auch für ältere Angestellte. Jüngere Mitarbeitende sind zwar digitalaffin, aber sie vermischen häufig private und berufliche Gerätenutzung. Ältere Mitarbeitende sind oft weniger vertraut mit den Risiken der digitalen Welt.
Das Management muss dahinterstehen
Cybersicherheit ist nicht nur ein Thema der IT-Abteilung, sondern liegt letztlich in der Verantwortung des Managements. Signalisieren Sie Ihren Mitarbeitenden, dass das Thema Cybersecurity für Ihre Firma Relevanz hat.
Machen Sie neue Mitarbeitende bereits am ersten Arbeitstag auf das Thema Cybersicherheit aufmerksam und schulen Sie die ganze Belegschaft in regelmässigen Abständen.
Welche Cybersecurity-Themen sind relevant?
Wenn Sie in Ihrem Unternehmen bereits Weiterbildungen zum Thema Cybersecurity und Awareness durchführen, fragen Sie sich allenfalls, ob die Inhalte für alle Teilnehmenden gleichermassen wichtig sind. Jede Abteilung hat mit anderen Herausforderungen zu tun und deshalb braucht auch jede Abteilung passende Weiterbildungen, die auf ihre Bedürfnisse zugeschnitten sind.
Jetzt Spezialisten für IT- und Cybersecurity finden
Nutzen Sie ganz einfach den Bedarfs-Check und unsere Einkaufsexperten finden für Sie bis zu drei passende Anbieter.
Cyberrisiken – legen Sie mögliche Kosten und Schäden offen
Machen Sie Ihren Mitarbeitenden bewusst, wie hoch die Kosten und der Schaden sein können – etwa bei Datendiebstahl, Verschlüsselung Ihrer Festplatte oder wenn andere Cybergefahren Realität werden. Machen Sie die Risiken für Ihre Mitarbeitenden anhand konkreter Beispiele greifbar.
Zeigen Sie die Abhängigkeiten Ihrer Firma von der Verfügbarkeit der IT-Infrastruktur auf. Gehen Sie aber nicht zu detailliert auf konkrete Schwachstellen Ihrer Infrastruktur ein, sonst verteilen Sie eine Anleitung zur Sabotage. Ein guter Mittelweg ist es, ein, zwei Risiken aufzuzeigen, die sie in Ihrem Notfallplan behandeln. Dies wirkt auf mehreren Ebenen:
- Cyberrisiken werden für die Mitarbeitenden konkret greifbar.
- Sie signalisieren, dass Sie für Notfälle gewappnet sind und das Thema ernst nehmen. So gehen Sie mit gutem Beispiel voran.
Indem Sie Ihren Mitarbeitenden mögliche Kosten und Konsequenzen von Cybervorfällen aufzeigen, machen Sie ausserdem klar: «Wir sitzen alle im selben Boot.» Im Extremfall können Cyberrisiken nämlich ein existenzgefährdendes Ausmass annehmen, sodass Schäden eventuell mit Entlassungen aufgefangen werden müssten oder sogar zum Konkurs führen.
IT-Sicherheit in Ihrem KMU: So schützen Sie sich vor Cyberattacken
Im Talk von Gryps erklärten Experten der zurichnetgroup, was ein gutes IT-Konzept für KMU ausmacht.
Weisen Sie auf das Problem Homeoffice hin
Beziehen Sie Homeoffice unbedingt in die Schulung mit ein, denn gerade dort ergeben sich viele Risiken. Ihr Unternehmen darf nicht der einzige «safe space» sein, wenn es um Datensicherheit geht. Zeigen Sie allen Mitarbeitenden auf, welche Massnahmen sie ausserhalb der Geschäftsräume umsetzen sollen. Und kontrollieren Sie, dass die vorgegebenen Sicherheitsstandards tatsächlich eingehalten werden (mehr zum Thema erfahren Sie unter «Homeoffice sicherer machen»).
Informieren Sie über die Risiken privater Geräte
Viele Angestellte ziehen es vor, mit privaten Geräten zu arbeiten – im Büro und noch mehr zu Hause. Falls Sie dies in Ihrer Firma erlauben, machen Sie Ihren Angestellten unbedingt klar, welche Risiken damit verbunden sind und welche Sicherheitsregeln auch für private Geräte gelten.
Achten Sie bei Videoanrufen im Büro auf den Hintergrund
Gespräche mit Kunden oder anderen Partnern, die per Video geführt werden, können eine Sicherheitslücke sein. Denn immer wieder sind in solchen Calls interne Firmendaten auf Flipcharts, anderen Bildschirmen oder Ähnlichem im Hintergrund deutlich sichtbar.
Jetzt Anbieter für eine Cyberversicherung finden
Nutzen Sie den Bedarfs-Check, und unsere Einkaufsexperten finden für Sie bis zu drei passende Anbieter.
Simulieren Sie Phishingangriffe
Testen Sie, ob Ihre Mitarbeitenden im Ernstfall richtig reagieren würden, indem Sie Phishingangriffe und andere Cyberattacken mithilfe eines externen Partners simulieren. So können Sie anfällige Abteilungen oder Mitarbeitende schneller erkennen und gezielt schulen. Auch das Bewusstsein der Mitarbeitenden für Cyberangriffe wird geschärft.
Wer sind die Ansprechpersonen für Cybersecurity?
Machen Sie die Zuständigen für Cybersicherheit im Betrieb bekannt. Damit bauen Sie Hemmschwellen ab. Ihre Angestellten werden sich bei Problemen, Fragen und Unklarheiten eher bei den Spezialisten melden und nicht selbst etwas ausprobieren, das sich womöglich sogar kontraproduktiv auswirkt. Folgende Schritte helfen, dass die Mitarbeitenden die IT-Zuständigen kennen:
- Geben Sie allen Angestellten die Kontaktdaten der IT-Ansprechpersonen. Richten Sie allenfalls eine spezielle E-Mail-Adresse ein, die von den IT-Ansprechpersonen betreut wird und an die Vorfälle im Zusammenhang mit Cybersecurity gemeldet werden können.
- Stellen Sie neu eintretenden Angestellten die IT-Verantwortlichen und die Ansprechpartner für Sicherheitsfragen am ersten Arbeitstag vor. Die Zusammenarbeit wird einfacher, wenn man sich persönlich kennt.
- Sofern Sie einen regelmässigen Firmen-Newsletter versenden, schaffen Sie darin Platz für das Thema Cybersecurity. Stellen Sie beispielsweise die Ansprechpersonen mit Foto, Namen und Kontaktdaten vor. Auch eine Rubrik zu aktuellen IT-Vorfällen sowie Praxistipps zum Umgang mit Cybersecurity und anderen IT-Themen können interessant sein. «Success»-Storys – wenn nötig anonymisiert – zeigen, dass die Meldungen der Angestellten ernst genommen werden und zu einem guten Resultat führen.
- Organisieren Sie eine regelmässige Sprechstunde bei den Ansprechpersonen aus der IT und erleichtern Sie damit den Mitarbeitenden den Zugang zu den Spezialisten.
IT-Vorfälle melden
Es genügt nicht, dass Ihre Angestellten Cyberrisiken besser erkennen, sie müssen auch lernen, diese regelmässig und strukturiert zu melden. In eine solche Meldung gehören Punkte wie:
- Wer meldet?
- Welches IT-System ist betroffen?
- Wie wurde mit dem System gearbeitet?
- Wann ist das Ereignis eingetreten?
- Bei wem ist das Ereignis eingetreten – bei einem oder bei mehreren Mitarbeitenden?
- Was ist passiert?
- Welche Schäden sind eingetreten, welche sind noch möglich?
- Wer weiss bereits davon (intern und extern)?
- Was ist der aktuelle Stand?
Gerade bei Cyberrisiken gilt: Lieber eine Meldung zu viel als eine zu wenig. Damit Ihre Angestellten Auffälligkeiten wirklich melden, müssen Sie es Ihnen so einfach wie möglich machen. Wichtig ist zudem, dass Ihre Angestellten wissen, dass sie bei gerechtfertigten Meldungen keine negativen Konsequenzen zu befürchten haben. Gleichzeitig sollten Sie aber auch klarstellen, dass missbräuchliche Meldungen und unbegründetes Anschwärzen von Kollegen nicht geduldet werden (mehr zum Thema Meldekultur lesen Sie unter «Compliance und Meldekultur»).
Autoren und Experten: Dr. Jacek Jonzcy, Stefan Mair, Nicolas Mayencourt, Mischa Obrecht, Prof. Dr. Marc K. Peter, Danilo Siscaro