Human Firewall: Wie Awareness langfristig erhalten bleibt

Ein ganz normaler Montagmorgen. Kathrin Keller, Geschäftsführerin der KT Mechanik AG in Schwyz, beginnt ihren Tag wie gewohnt am Computer. Etwas irritiert stellt sie fest, dass sie plötzlich nicht mehr aufihre Dateien zugreifen kann. Noch während sie überlegt, warum alles so langsam ist, klingelt ihr Telefon. Simon aus der Produktion meldet sich aufgeregt: „Kathrin,die CNC-Maschinen laufen nicht. Wir kommen nicht mehr an die Zeichnungen ran!“

In diesem Moment erscheint eine neue Nachrichtauf Kathrins Computer: „Willkommen bei LockBit2. Alle ihre wichtigenDateien wurden gestohlen und verschlüsselt! Wir werden Ihre Daten auf dieser TOR-Webseite im Darknet veröffentlichen, wenn Sie nicht sofort die Erpressungssumme von USD 100'000 überweisen“. Schlagartig wird Kathrin klar: Ihr KMU ist Opfer einer Ransomware-Attacke geworden.

In diesem Artikel:

·     Wie kann der Schutz vorCyber-Angriffen durch Security Awareness verbessert werden?

·     Welche Sicherheitsmassnahmen stärkendie Sicherheitskultur?

·     Wie kann Awareness langfristigaufrechterhalten werden?

Die Folgen eines Cyberangriffs: Auswirkungen auf Image, Mitarbeitende und Haftung

Oft verfügt ein Unternehmen über mehr vertrauliche Informationen, als auf den ersten Blick ersichtlich ist. Bei einem Angriff auf die KT Mechanik AG könnten persönliche E-Mail- und Privatadressen von Mitarbeitern gestohlen werden. Ja sogar die Namen und Geburtsdaten ihrer Kinder könnten veröffentlicht werden. Ein beliebtes Ziel von Erpressern sind auch Kundendaten oder Geschäftsgeheimnisse, wie in diesem Fall firmeneigene CNC-Programme, die dem Unternehmen einen Wettbewerbsvorteil verschaffen. Der Schaden wäre nicht nur finanziell, sondern auch für das Image des Unternehmens enorm und würde haftungsrechtliche Konsequenzen nach sich ziehen.

Cyberangriffe können zu 70 - 80 % auf menschliche Fehler rückgeführt werden

Kathrin ist immer noch fassungslos. Wer überfällt ein kleines KMU mit 35 Mitarbeitenden? Dabei haben alle erst vor wenigen Monaten die obligatorische Sicherheitsschulung absolviert. Wie kann das sein, fragt Kathrin den Finanzverantwortlichen Robert, der sich gerade auf seinen Stuhl setzt. Da fällt ihr die E-Mail vom Freitagnachmittag ein, die Robert erwähnt hat. Eine dringende Anfrage der Bank, um die er sich sofort kümmern musste. Könnte das eine Phishing-E-Mail gewesen sein?

Rund 70 bis 80 % aller erfolgreichenCyber-Angriffe sind auf menschliches Versagen zurückzuführen. Oft durch gut getarnte Phishing-Mails, die in der Hektik des Alltags kaum als solche erkannt werden.

Die Sicherheitsschulung hat zwar die Grundlagen vermittelt, aber das Wissen verblasst schnell, wenn es nicht regelmässig aufgefrischt wird. Das kann teuer werden: finanzielle Verluste, Vertrauensverlust bei den Kunden und viel Aufwand, um die Sicherheitslücke zu schliessen. Ausserdem zahlt die Cyber-Versicherung nur, wenn die Sicherheitsmassnahmen aus Kathrins Selbstauskunft umgesetzt wurden.

Für kleine und mittlere Unternehmen ist das Thema IT-Sicherheit oft eine zusätzliche Belastung. Der Fokus liegt auf dem Tagesgeschäft und dann kommt auch noch dieser Bereich hinzu - kompliziert, unübersichtlich und zeitaufwändig. Cyber-Angriffe treffen nicht nur grosse Unternehmen. Phishing kostet auch kleinere Unternehmen viel Geld. Ransomware legt ganze Systeme lahm. Wer sein System wiederherstellen kann, bevor das Geld ausgeht, hat trotzdem ein Problem. Die Angreifer veröffentlichen dann die gestohlenen, vertraulichen Daten im Darkweb. Das verursacht einen Imageschaden mit möglichen Haftungsfolgen.

Warum regelmässige Sicherheitsmassnahmen wichtig sind

Kathrin erinnert sich noch gut an die Sicherheitsschulung, doch die Alarmbereitschaft, die sie unmittelbar danach verspürte, ist verflogen. Deshalb ist es jetzt eines ihrer wichtigsten Ziele, alle Angestellten regelmässig für Sicherheitsrisiken und deren Erkennung zu sensibilisieren.

Gesetzliche Anforderungen: Security Awareness wird empfohlen

Die Eidgenössische Finanzmarktaufsicht (FINMA) schreibt für grössere Unternehmen wie Banken und Finanzinstitute regelmässige IT-Sicherheitsschulungen vor. Auch der Payment Card Industry Standard (PCI-DSS) oder der International Information Security Standard (ISO 27001) sowie Cyber-Versicherungen betonen die Wichtigkeit von Weiterbildungen.

Obwohl es keine spezifischen gesetzlichen Anforderungen gibt, wird vom Bund auch KMU empfohlen, ihre IT-Sicherheit durch regelmässige Risikobeurteilungen und Sensibilisierung zu Cyber-Risiken zu erhöhen. Trotzdem setzen viele Unternehmen nur auf eine jährliche Schulung - und gehen damit hohe Risiken ein.

Warum vergessen wir nach kurzer Zeit, was wir gelernt haben? Was passiert in unserem Gehirn?

Ein Gedanke lässt Kathrin nicht los. Warum war das Sicherheitstraining nicht nachhaltig? Was passiert in unserem Gehirn, dass wir diese Information schon nach wenigen Monaten nicht mehr abrufen können? Sie hat folgende Information gefunden, die es ihr ermöglicht hat, besser zu verstehen,warum regelmässige Schulungen nicht nur ein „good to have“, sondern ein Muss sind.

Die Vergessenskurve und wie wir Wissen bewahren

Vielleicht kennen Sie diese Situation der Erinnerungslücke: Sie sind in einem fremden Land und interessieren sich für die Sprache, weil sie so anders klingt als Ihre Muttersprache. Nach einem Museumsbesuch unterhalten Sie sich mit der Kuratorin und lernen ein neues Wort kennen, das nach mehrmaligem Wiederholen kurz in Ihrem Kopf hängen bleibt. Beim Abendessen eine Stunde später erinnern Sie sich kaum noch daran: Es fing mit S an ... oder doch mit L? Warum passiert das so schnell?

Die so genannte Vergessenskurve zeigt den schnellen Verlust von Informationen im Laufe der Zeit - entdeckt von Hermann Ebbinghaus in Selbstversuchen:

Die Kurve auf Abb. 1 zeigt:

•          Nach ungefähr 20 Minuten sind 40 % des Gelernten vergessen

•          Nach einer Stunde schon 50 %

•          Nach einem Tag sind es nur noch 30 %

 Das bedeutet: Direkt nach einer Schulung sitzt alles perfekt, aber am nächsten Tag fehlen schon bis zu 70 % der Details! Nach einer Woche erinnert man sich nur noch an etwa 10 %, nach einem Monat sind es nur noch 2 - 3 %.

Wissen verschwindet also schneller, als esgefestigt werden kann.

Grundsätzliches, wie Regeln und Prozesse bleibt länger im Gedächtnis. Aber auch davon sind nach einem Monat nur noch ca. 95 % vorhanden.

Gezielte Wiederholung hilft dabei,Informationen dauerhaft zu speichern („Spaced Repetition“)

 Die Vergessenskurve (Abb. 2, grüne Kurve) zeigt, wie schnell Wissen ohne Wiederholung verloren geht. Mit gezielten Impulsen lässt sich dieser Effekt umkehren (Abb. 2, blauer Verlauf). Die Impulse müssen nicht zwingend lange Schulungen sein. Dies können kurze Erinnerungen, praktische Übungen oder spielerische Herausforderungen sein. Informationen prägen sich besser ein, je öfter man sich mit ihnen auseinandersetzt. Jede neue Begegnung festigt das Gedächtnis.

Auch andere Faktoren beeinflussen den Lernerfolg: Gut trainiertes Wissen hält auch Alltagsstress stand

Wer über gut trainiertes Wissen verfügt oder Lerninhalte als besonders wichtig empfindet, behält sie länger im Gedächtnis. Wer im Betriebsalltag unter Stress oder Zeitdruck steht, verliert Wissen schneller. Ebenso, wenn Kolleginnen und Kollegen häufig wechseln oder die Sicherheitskultur schwach ausgeprägt ist.

Cyber-Bedrohungen verändern sich ständig

Durch die Vorbereitung auf Cyberrisiken und die Gespräche mit dem Berater wurde Kathrin klar, dass es neben Ransomware noch viele andere Risiken gibt, die ein Unternehmen bei seinen Sicherheitsmassnahmenberücksichtigen sollte.

Ausserdem entwickeln sich die Angriffe ständig weiter.

Die aktuellen Bedrohungen reichen von KI-gestützten Angriffen bis hin zu gezielten Angriffen auf Lieferketten. Strategien sollten regelmässig überprüft werden, um die Schutzmassnahmen auf dem neuesten Stand zu halten.

Eine starke Sicherheitskultur als menschliche Firewall

Kathrin hat in den vergangenen Monaten viel gelernt. Der Ransomware-Angriff hat ihr schmerzhaft vor Augen geführt, wie schnell die Maschinen in ihrem über viele Jahre aufgebauten KMU stillstehen können. Von einem Tag auf den anderen und nur aufgrund einer Phishing-Mail.

Die psychologischen Hintergründe der Vergessenskurve können gut aufzeigen, dass innerhalb kürzester Zeit ein Grossteil des Gelernten wieder verloren geht, wenn es nicht sofort wieder aufgefrischt und gefestigt wird. Hinzu kommt, dass sich die Bedrohungen ständig ändern.

Zusammenfassend lässt sich sagen: Sicherheit benötigt ständige Aufmerksamkeit.

Unsere Erfahrung mit über 140 zufriedenen Kunden zeigt uns immer wieder, wie wichtig eine gelebte Sicherheitskultur ist. Unternehmen, die Cybersicherheit als Kultur leben, sind widerstandsfähiger gegen Angriffe. Eine starke Sicherheitskultur wirkt wie eine menschliche Firewall.

Wir haben gesehen, dass der entscheidende Erfolgsfaktor dabei nicht in einzelnen Schulungen liegt, sondern in kontinuierlichen, gut integrierten Sicherheitsmassnahmen.