IT-Sicherheit:Der größte Risikofaktor sitzt vor dem Rechner
Technische Absicherungen für Computer und andere Geräte gibt es in vielen Unternehmen, Probleme macht meist der Faktor Mensch. Können Online-Schulungen helfen?
Nicht dass es an Warnungen fehlen würde: Nahezu jede Firma, die sich mit Sicherheit im Netz beschäftigt, hat mittlerweile bereits darauf aufmerksam gemacht, dass IT-Nutzer in Zeiten der Corona-Krise ganz besonders aufpassen sollten. Die Mitarbeiter vieler Unternehmen arbeiten dezentral im Home-Office, manchmal auch mit ihren eigenen Computern. Die Technik möglichst gut abzusichern, ist wichtig, dazu gehört etwa, dass auf den benutzten Geräten alle Sicherheitsupdates eingespielt sind. Doch ein anderer Faktor ist mindestens ebenso wichtig: Der Mensch.
Die Zyniker unter den Systemadministratoren sprechen ja schon lange davon, dass das größte Risiko für die IT-Sicherheit 50 Zentimeter vor dem Bildschirm sitzt. Dennoch tut sich in erstaunlich vielen Unternehmen wenig bis nichts, um das Bewusstsein dafür zu schärfen, was alles passieren könnte und worauf besonders zu achten ist. Diese Lücke hat auch das Bochumer IT-Sicherheitsunternehmen G Data erkannt. Eigentlich kommt es zwar auch aus dem technischen Schutz, liefert zum Beispiel Antiviren-Software. Doch seit einiger Zeit bietet es auch Online-Kurse an, die das Sicherheitsbewusstsein der Mitarbeiter stärken sollen.
Alle Meldungen zur aktuellen Lage in Deutschland und weltweit sowie die wichtigsten Nachrichten des Tages - zweimal täglich im SZ am Morgen und SZ am Abend. Unser Newsletter bringt Sie auf den neuesten Stand. Kostenlose Anmeldung: sz.de/morgenabend. In unserer Nachrichten-App (hier herunterladen) können Sie den Nachrichten-Newsletter oder Eilmeldungen auch als Push-Nachricht abonnieren.
Verantwortlich ist bei G Data dafür der Wirtschaftspsychologe Nikolas Schran. "Wir werden zur Digitalisierung gezwungen", sagt Schran, und meint damit die oft überstürzte Einführung des Arbeitens von zu Hause aus wegen der Corona-Pandemie. "Es wäre besser gewesen, wenn wir uns besser darauf vorbereitet hätten." Besser vorbereiten, das gelte aber nicht bloß für die Technik, sondern auch für den Umgang der Menschen damit.
Manche Angriffe ließen sich mit rein technischen Mitteln alleine nicht abwehren, "Ich kann mich davon auch nicht freisprechen", gibt er zu. Tatsächlich: So leicht wie es schon einmal war für böswillige Hacker, etwa Lücken im Betriebssystem Windows für Angriffe zu nutzen, ist es längst nicht mehr. Daher versuchen die Kriminellen mehr und mehr die Nutzer dazu zu bringen, selbst die in Windows eingebauten Sicherheitsschranken zu überwinden. Sie benutzen dazu zum Beispiel Mails, die Schnäppchen versprechen oder die vorgeben, das eigene Konto bei Amazon sei gesperrt werden. Oft aber ist nicht einmal das nötig. Zum Beispiel wenn Nutzer ihren Computer nicht sperren, wenn sie den Arbeitsplatz verlassen. So kann ein Besucher im Großraumbüro schnell mal das Angebot eines Konkurrenten mitbekommen.
Auch für die Arbeit im Home-Office gibt es ein Trainingsmodul
Szenen wie diese werden in den Online-Kursen behandelt. Sie starten immer damit, das Basiswissen der Teilnehmer zu erfassen. Und zwar, wie Schran betont, am jeweiligen Arbeitsplatz. Denn es komme beim Lernen immer auch auf den Zusammenhang an, was für die Arbeit wichtig sei, lerne man deshalb auch am besten dort. Wie man solche Kurse aufbaut, habe bei G-Data anfangs auch niemand gewusst; das Unternehmen holte sich daher das nötige Expertenwissen ins Haus, um sicherzustellen, dass die Kurse nicht nur sachlich korrekt, sondern auch didaktisch sinnvoll aufgebaut sind. Dass Mitarbeiter wegen des Trainings tagelang ausfallen, muss kein Arbeitgeber befürchten. Die Kurse sind in kleine Blöcke aufgeteilt, die man jeweils in einer Viertelstunde durchhat. Die Teilnehmer können in einem gewissen Rahmen selbst bestimmen, wann sie welchen Block absolvieren. Das Training läuft über eine Online-Plattform, bei der sich die Nutzer lediglich anmelden müssen. Die Vorgesetzten können mit einem besonderen Zugang nachvollziehen, wie der Lernfortschritt ihrer Mitarbeiter ist.
Zur Corona-Krise gab es viele Anfragen von Firmen, ob man nicht in einem speziellen Training auf die Besonderheiten der derzeitigen Situation eingehen sollte. Daher gibt es nun auch ein Modul, das die Sicherheitsfragen in den Vordergrund stellt, die sich im Home-Office oder unterwegs stellen. Vertiefte Pro-Tipps darf man hier nicht erwarten. Es geht eher darum, die Basis-Themen jedem klarzumachen.
Den Laptop im Auto lassen? Keine gute Idee. Was tun, wenn das gute Stück verlorengeht? Sofort die Firmen-IT verständigen. Die kann in aller Regel die Firmendaten aus der Ferne löschen. Und Mails bitte nicht einfach so übers Wlan im Zug lesen - immer erst schön ein VPN aufbauen, eine gesicherte Verbindung zu den Mailservern der Firma also. Drei Fragen wie diese mit jeweils drei Antwortmöglichkeiten, davor ein kurzes Video, das die Probleme erläutert - eine Lernaufgabe ist schnell absolviert, der Fortschritt wird automatisch gespeichert. Die Firmen müssen dabei nichts installieren, alles läuft in der Cloud von G Data. Was auch den Vorteil bietet, dass Aktualisierungen schnell eingearbeitet werden können und sofort für alle Teilnehmer zur Verfügung stehen.
Zwischendrin wird das Wissen der Mitarbeiter geprüft
Insgesamt 36 Kurse stehen bereit, darunter auch solche für Systemverwalter. Normalerweise werden die Kurse über zwei Jahre verteilt. Die Nutzer bekommen eine E-Mail, wenn wieder ein neuer Kurs für sie bereitsteht, und können ihn dann innerhalb einer gewissen Zeitspanne absolvieren. Wer das versäumt, wird noch einmal erinnert. Das Basiswissen, das schon zu Beginn des Kursprogramms abgefragt wird, sollte man, während das Training läuft, noch zweimal abfragen, rät Nikolas Schran: "So bekommt man Zahlen darüber, wie sich das Wissen verbessert hat."
Mit seinem Angebot spricht G Data eine breite Zielgruppe an, die auch über jene hinausgeht, die das Unternehmen mit seinen Produkten wie Antiviren-Software erreicht. Von der Zahnarztpraxis über Mittelständler bis hin zu Konzernen sei alles dabei. Manche Firmen bieten das Training auch unter eigenem Namen an, so etwa ein Schweizer Beratungsunternehmen. Abgerechnet wird über eine Jahresgebühr pro Teilnehmer, bei mehr Teilnehmern wird es günstiger. Mit drei bis vier Euro pro Monat und Mitarbeiter muss man in etwa rechnen.