Schnellauswahl
IT-Sicherheit

Nicht die klassischen Fehler machen

Unvorsichtiges und uninformiertes Verhalten von Mitarbeitern öffnet Einfallstore für Schadsoftware.
Unvorsichtiges und uninformiertes Verhalten von Mitarbeitern öffnet Einfallstore für Schadsoftware.(c) Getty Images/iStockphoto (Tero Vesalainen)

Cyber-Bedrohungen sind nicht nur für einschlägige Experten ein Thema. Jeder Mitarbeiter muss zumindest in Grundzügen darüber Bescheid wissen – oder er wird zur Schwachstelle.

Immer mehr heimische Unternehmen sind von Cyberkriminalität betroffen. Laut der aktuellen KPMG-Studie „Cyber Security in Österreich“ wurden bereits 66 Prozent Opfer einer Cyberattacke. Im Jahr 2016 lag der Anteil der betroffenen Unternehmen noch bei knapp 50 Prozent. Das wenig beruhigende Fazit der Studienautoren: Cyberkriminalität sei immer noch auf dem Vormarsch, und bewährte Angriffsarten wie Phishing und Malware wären weiterhin wirksam.

„Die Bedrohungsszenarien werden immer intelligenter“, sagt Gregor Röhrich, Mitglied der Geschäftsführung der ITLS Training und Consulting GmbH. Auch wenn es letztlich keine hundertprozentige Absicherung gegen Cyberkriminalität gebe, so wäre es nur mittels entsprechender Aus- und Weiterbildung möglich, mit der Bedrohung entsprechend umzugehen. Schließlich sei jede technische Lösung nur so gut, wie die Mitarbeiter ausgebildet sind. In dieselbe Kerbe schlägt sein Kollege Mahmoud El-Madani, Trainer und IT-Security-Experte bei ITLS. „Immer mehr gilt heutzutage: Man muss zu jedem Zeitpunkt am Ball bleiben. Das stellt für Unternehmen eine große Herausforderung dar.“

ITLS ist Spezialist für Trainings und Beratungsdienstleistungen rund um Themen wie Cybersecurity, Cloud, digitale Transformation und Mobility. Das Unternehmen ist autorisierter Trainingspartner für die Produkte von führenden IT-Herstellern, unterstützt Kunden bei der Erlangung von Zertifizierungen und bietet darüber hinaus selbst entwickelte Trainingsprogramme zu aktuellen Technologien und Trends an – sowohl in den eigenen Kursräumen als auch beim Kunden vor Ort. Zu Letzteren gehören etliche Kurse, die sich mit dem Thema Cybersecurity auseinandersetzen – wie etwa „Hack – Cyber Security & Anti-Hacking Workshop“, bei dem es darum geht, die Rolle eines Cyberkriminellen bzw. Angreifers einzunehmen (Stichwort: Ethical Hacking). „Dadurch kann man viel lernen“, so Röhrich.

 

Zum Nachdenken anregen

„Internet-Security ist ein konstantes Katz-und-Maus-Spiel“, sagt Michael Swoboda, Geschäftsführer bei ETC (Enterprise Training Center). Zwar sei eine zeitgemäße IT-Infrastruktur unabdingbar, wichtig sei es aber, vor allem die breite Zahl der Mitarbeiter so zu qualifizieren, dass sie nicht klassische Fehler machten – etwa wenn sie in gefälschten E-Mails dazu aufgefordert würden, gewisse Beträge zu überweisen. Oft gehe es auch einfach darum, zum Nachdenken anzuregen. Auch ETC ist autorisierter Seminaranbieter aller führenden IT-Hersteller und hält herstellerunabhängige Schulungen zu diversen IT-Security-Themen. Sogenannte „Ethical Hacking“-Kurse, bei denen die Teilnehmer die Rolle des Hackers spielen müssen, hat man ebenfalls im Programm.

Sehr gut nachgefragt werden laut Swoboda derzeit E-Learning beziehungsweise videobasierte Trainings, die auf einer eigenen Plattform abgerufen werden können. Diese seien vor allem dann geeignet, wenn es darum gehe, eine möglichst große Zahl an Personen für bestimmte Themen zu sensibilisieren – „und zwar vom Portier bis zur Führungskraft“.

Das Format bringt für alle Beteiligten Vorteile. Einerseits können sich die Mitarbeiter das Lernen flexibel einteilen. Andererseits hat die Geschäftsführung den dokumentierten Nachweis, wer sich was und wann angeschaut hat. Dass Letzteres wichtig ist, liegt auf der Hand: Die DSGVO hat dazu geführt, dass Sicherheit und Datenschutz zum Managementthema geworden sind. Demnach ist die Geschäftsführung dafür verantwortlich, Daten bestmöglich zu sichern und vor Zugriffen zu schützen. Sie muss auch jederzeit den Nachweis erbringen können, die Mitarbeiter diesbezüglich entsprechend und zeitgerecht qualifiziert zu haben.

 

Rechtliche Absicherung

„Beim Thema Cybersecurity geht es nicht nur um technische, sondern immer auch um rechtliche Aspekte“, weiß El-Madani. Zu den wichtigen rechtlichen Rahmenbedingungen, auf die in den Trainings eingegangen wird, gehören neben der DSGVO unter anderem das Österreichische Programm zum Schutz kritischer Infrastrukturen und die Durchführungsverordnungen zum Netz- und Informationssystemsicherheitsgesetz (Nisg). Auch El-Madani bekräftigt, dass Cybersecurity allein schon aufgrund der Gesetzeslage Chefsache sein sollte.

 

Mangel an Experten

Bei KPMG weist man auf eine weitere Herausforderung hin, die mit dem Thema Cybersecurity verbunden ist: das zu geringe Angebot an einschlägigen Experten. In den von BDO Österreich veröffentlichten „Cyber Security Trends 2019“ wird ebenfalls ein Mangel an erfahrenen, ausgebildeten und zertifizierten Fachkräften angeführt. Diesen bestätigt Matthias Hudler, Leiter des Masterstudiums IT-Security der FH Campus Wien. „Unsere Absolventen sind sehr gefragt“, sagt er. Genauso sieht es an anderen heimischen Hochschulen, die einschlägige Ausbildungen anbieten, aus – dazu gehören unter anderem die FH OÖ, FH Technikum Wien, FH St. Pölten oder FH Joanneum.

("Die Presse", Print-Ausgabe, 30.11.2019)