[Kostenlos] Security-Awareness bei Schweizer KMUs (2023)

10.10.2023 10:30 - Von Salomon Häseli

Cyber-Sicherheit ist bereits seit vielen Jahren in aller Munde und das nicht zu Unrecht. Zero-Day Sicherheitslücken, Datenlecks bei Schweizer Grosskonzernen (Emil Frey 2022Zurich-Versicherungen 2021RUAG 2021, uvm...), Verschlüsselungstrojaner etc... zieren regelmässig die Titelseiten von Nachrichten und Fachmagazinen. 

Auch Schweizer KMU's sind von solchen Angriffen (egal ob gezielt oder ungezielt) nicht gefeit - im Gegenteil. KMU's vertreten häufig den Standpunkt "man sei zu uninteressant" oder "bei uns gibts nichts zu holen". Diese Haltung nutzen Angreifer aus, denn KMU's sind aus folgenden Gründen durchaus attraktive Ziele:

  • Aufgrund obiger Haltung und auch der Firmengrösse wird davon ausgegangen, dass IT-Systeme schlechter geschützt sind als bei Grosskonzernen.
  • KMU sind vernetzt und stehen in Kontakt mit unterschiedlichsten Zulieferern. Diese Daten werden genutzt, um sich Schritt für Schritt zu nächstgrösseren Firmen vorzuarbeiten. Die dabei erschlichenen Daten können für Erpressung oder den Weiterverkauf genutzt werden.

Laut einer Sicherheitsstudie der Mobiliar sind bereits 25% aller KMU in der Schweiz Opfer von Cyber-Attacken geworden. Tendenz steigend. Der Faktor Mensch spielt dabei eine wichtige Rolle, ob ein Angriff erfolgreich ist oder nicht. Nichtsdestotrotz schulen weniger als 30% der KMU's ihre Mitarbeitenden regelmässig in Bereichen der Cyber-Sicherheit.


Doch wie sehen solche Schulungen aus?

Typischerweise wird ein externer IT-Dienstleister beauftragt, die Mitarbeitenden zum Thema Cyber-Sicherheit aufzuklären und sensibilisieren. Das heisst: Meetingraum / Teams, PowerPoint, Fragerunde und wenn es gut kommt eine Phishing-Simulation. Das Problem: Mitarbeitende verlieren früh die Aufmerksamkeit, Inhalte sind allgemein gehalten und bis zur nächsten Schulung in einem halben Jahr ist das Gelernte wieder in den Hintergrund gerückt.


Wie soll ein effizientes Training aussehen?

Effektive und effiziente bekämpfen obige Punkte wie folgend:

  • Lerninhalte werden auf Mitarbeitende zugeschnitten
  • Persönliche Trainingsprofile trainieren gezielt die Schwachstellen eines jeden Mitarbeitenden
  • Wiederkehrende Phishing-Simulationen prüfen das Gelernte in der Praxis. Dabei werden echte Angriffe als Vorbild gewählt und teilweise auf die Branche angepasst
  • Lerninhalte werden wiederkehrend, dafür in kurzen Einheiten (maximal 10-15 Minuten) vermittelt. So bleiben Mitarbeitende am Ball
  • Neben den praxisbezogenen Phishing-Simulationen werden Mitarbeitende durch positives Feedback und den sich messbaren Fortschritt motiviert
Bei Manguito bieten wir Ihnen genau solche Security-Awareness-Trainings der nächsten Generation. So können Sie das IT-Risiko-Verhalten Ihrer Mitarbeitenden steigern und das Risiko des "Faktors Mensch" reduzieren. Ganz ohne teure Experten oder IT-Sicherheitslösungen.