Auch das sicherste Netzwerk schützt nicht vor Datenverlust, wenn Mitarbeiter sensible Daten unverschlüsselt über Clouds versenden oder immer dieselben Passwörter benutzen. Angestellte sind jedoch häufig nur unzureichend geschult. Zentrales Element einer IT-Sicherheitsstrategie muss also die Sensibilisierung der Mitarbeiter sein. Eine SecurityINFO App kann diesen Prozess fördern.
In Deutschland herrscht in Fragen IT-Sicherheit häufig noch erschreckende Arglosigkeit. „Im Vergleich zu anderen Ländern hinken wir Jahre hinterher“, mahnt Benjamin Reischböck, Projektleiter bei der Mobile Software AG. Das Problem: Selbst wenn Unternehmen große Summen in technische Lösungen investieren, werden diese häufig von innen unterwandert: „Cyberangriffe richten sich inzwischen hauptsächlich gegen Mitarbeiter. Doch ob Phishing-Mails oder Social Engineering, die meisten kennen die Gefahrenquellen einfach nicht“, berichtet Frank von Stetten, Mitgründer und Senior Consultant der HvS-Consulting AG, aus jahrelanger Erfahrung. Als Antwort entwickelten die Experten für IT-Sicherheit mit den Mobile Software-Profis die neue SecurityINFO App.
Die Zahlen sprechen für sich: Täglich werden rund 380.000 neue Schadprogrammvarianten entdeckt und die Anzahl von Spam-Nachrichten mit Malware im Anhang ist explosionsartig um 1.270 Prozent angestiegen, so das Bundesamt für Sicherheit in der Informationstechnik (BSI) im aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland 2016. Internet der Dinge, Industrie 4.0 – die fortschreitende Digitalisierung und Vernetzung eröffnen Hackern täglich neue Möglichkeiten für Datendiebstahl und Wirtschaftsspionage. Im Fokus der Angriffe stehen Unternehmen: Laut Bitkom sind etwa 51 Prozent aller Unternehmen bereits Opfer solcher Delikte geworden und sogar 69 Prozent der Industrieunternehmen. Allein in diesem Sektor beläuft sich der Schaden auf rund 22,4 Milliarden Euro pro Jahr.
Unterschätzte Gefahr
Die HvS-Consulting AG berät seit 2002 mittelständische und große Unternehmen in allen Fragen rund um IT-Sicherheit. Die Experten wissen: Trotz steigender Schäden unterschätzt insbesondere der deutsche Mittelstand nach wie vor die Gefahr durch Cyberangriffe. „Die Sicherheitsvorkehrungen sind häufig lückenhaft“, so der Sicherheitsexperte Frank von Stetten. Im technischen Bereich zählen Virenscanner, Firewalls und Passwortschutz zwar inzwischen zum Standard, es sind allerdings zusätzliche Sicherheitsmaßnahmen notwendig.
Risikofaktor Mensch
Denn Technologie allein hilft nicht, man muss auch wissen, wie man sie anwendet. „Die größte Schwachstelle ist oftmals der Mensch“, weiß Benjamin Reischböck, Projektleiter der Mobile Software AG. „Auch das sicherste Netzwerk schützt nicht vor Datenverlust, wenn Mitarbeiter sensible Daten unverschlüsselt über Clouds versenden oder immer dieselben Passwörter benutzen“, betont Reischböck. Angestellte sind jedoch häufig nur unzureichend geschult. Zentrales Element einer IT-Sicherheitsstrategie muss also die Sensibilisierung der Mitarbeiter sein.
Neue Wege entwickeln
Die Grundidee war einfach: Eine informative App als Ergänzung der IS-FOX-Produktlinie, die speziell auf das Thema Security Awareness ausgerichtet ist. Der Weg dorthin nicht ganz. Einen Teil der B2B-App hat die HvS-Consulting AG selbst entwickelt, aber: „Ehrlich gesagt sah die App einfach hässlich aus und hat teilweise auch nicht richtig funktioniert“, erinnert sich von Stetten. „Uns war schnell klar: Wir brauchen echte Profis.“ Mit der Mobile Software AG haben die IT-Sicherheitsexperten dann gleich in mehr als einer Hinsicht neue Wege beschritten. „Das extrem engagierte Team hat all die kleinen typischen Wehwehchen eines solchen Projekts sehr schnell überwunden“, zeigt sich von Stetten beeindruckt. Das Ergebnis: Eine neue Multiplattform-Lösung, neues Design, neue Features und ein einzigartiger, neuer User-Fokus.
Im Fokus: Der End-User
Angesichts immer neuer Bedrohungen durch Phishing-Angriffe, Social Engineering und Sicherheitslücken in Software verlieren klassische Abwehrmaßnahmen zunehmend an Wirksamkeit. Auch die herkömmlichen Informationskanäle erweisen sich als ungeeignet: „Newsletter zum Beispiel erreichen meist nur etwa drei bis fünf Prozent unserer Zielgruppe“, erläutert der IT-Sicherheitsberater. „Mit der SecurityINFO App wollen wir einen neuen Weg gehen und den Endanwender direkt und proaktiv über aktuelle Themen rund um IT-Sicherheit informieren. Dabei holen wir den Nutzer dort ab, wo ihm sowieso gerade langweilig ist – auf dem Arbeitsweg, im Wartezimmer oder zuhause“, scherzt von Stetten – spricht damit aber einen wichtigen Aspekt für die Sensibilisierung an: Die spontane Nutzbarkeit der App erhöht sowohl Akzeptanz als auch Reichweite.
Einfach nützlich: Content und Usability
„Sicherheits-Apps haben alle ein Problem: der Inhalt ist meistens sehr technisch“, meint Reischböck von der Mobile Software AG. Das Ziel lautete also: eine einfache, übersichtliche App, die intuitiv nutzbar ist. „Der wichtigste Punkt war für mich ein leicht verständlicher Content für Endanwender“, ergänzt der Projektleiter. Die Themen reichen von aktuellen Gefahren durch Fake-E-Mails oder Hackerangriffe bis zu grundlegenden Infos über sichere Passwörter. Die Mischung aus News und Videos bietet mehr als reine Information: Die App gibt konkrete Tipps, wie man in problematischen Situationen reagieren kann. „Ein User kann so durch seine eigenen Handlungen tatsächlich etwas zur IT-Sicherheit seines Unternehmens beitragen“, erklärt Frank von Stetten.
B2B-Customization
Unternehmen können die App als eigenes Kommunikationsmittel nutzen und die Informationen an die firmenspezifischen Anforderungen anpassen sowie eigene Inhalte hinzufügen. „Ein spezieller Workflow steuert, welchen Content die Mitarbeiter erhalten“, erklärt der Projektleiter der Mobile Software AG. So können etwa aktuelle Meldungen zu internen Sicherheitsproblemen sicher, schnell und zielgerichtet ausgespielt werden. Ein weiteres Plus: Die Inhalte können auch in firmeneigenen Kommunikationskanälen wie dem Intranet genutzt werden. „Gerade diese Wiederverwertung in vielen Kanälen schafft Nachhaltigkeit – einer der wichtigsten Aspekte, wenn es darum geht, bei den Mitarbeitern ein neues Bewusstsein für IT-Security zu schaffen“, schließt von Stetten.