Die Digitalisierung schreitet in kleinen und mittleren Unternehmen wie Anwaltskanzleien, Treuhänder, Unternehmensberater aller Art, Unternehmen aus Finanzen, Versicherungen, Immobilien und Personalvermittlung oder Arztpraxen unaufhaltsam voran. Die digitalisierten Arbeitsprozesse greifen immer mehr ineinander. Doch oftmals wird gerade bei kleineren Unternehmen der Cybersicherheit noch zu wenig Beachtung geschenkt. Das steht im unlängst erschienenen Halbjahresbericht 2022/II des Nationalen Zentrums für Cybersicherheit NCSC. Wichtig zu wissen: Die Mitarbeitenden sind ein Schlüsselelement der Cybersicherheit und sollten entsprechend geschult werden.

Editorial des Chefs des Nationalen Zentrums für Cybersicherheit NCSC

Florian Schütz, Delegierter des Bundes für Cybersicherheit, Leiter des Nationalen Zentrums für Cybersicherheit NCSC und ab 1. Januar 2024 Direktor des neuen Bundesamtes für Cybersicherheit, schreibt im Editorial zum Halbjahresbericht 2022/II des Nationalen Zentrums für Cybersicherheit NCSC: «So unterschiedlich Kleinunternehmen auch sind, eines verbindet sie: Die bescheidene Anzahl Beschäftigte erlaubt keine riesigen Sicherheitsabteilungen. Cybersicherheit muss jedoch integral und geschäftsorientiert angegangen werden. Das bedeutet in letzter Konsequenz, dass sowohl die Unternehmensführung wie auch die Mitarbeitenden im Rahmen ihres Verantwortungsbereiches Cyberwissen brauchen. Gelingt es, dieses Wissen aufzubauen ohne an Wirtschaftskraft zu verlieren, könnten die Kleinunternehmen bald einen nicht unerheblichen Vorteil in einer zunehmend digitalen Wirtschaft haben.»

Mitarbeitende sind ein entscheidendes Glied in der Cyberabwehrkette

Neben den technischen State-of-the-art-Cyberschutzmassnahmen ist laut dem Halbjahresbericht 2022/II des Nationalen Zentrums für Cybersicherheit NCSC die Cybersicherheitsschulung der Mitarbeitenden ein zentraler Punkt. Der Grund dafür: Die Mitarbeitenden sind ein entscheidendes Glied in der Cyberabwehrkette. Auch wenn das zuverlässige, eigenständige Erkennen von bösartigen E-Mails durch die Mitarbeitenden nicht garantiert werden kann, hilft bereits die Sensibilisierung auf die Gefahr. Wenn Empfängerinnen und Empfänger bei Verdacht oder Unsicherheiten bezüglich einer E-Mail nicht direkt die in der Nachricht aufgeführte Handlungsanweisung ausführen, nicht auf den verführerischen Link klicken oder die angehängte Datei öffnen, sondern das E-Mail intern überprüfen oder beim vermeintlichen Absender die Echtheit der Nachricht bestätigen lassen, wird das Risiko für einen erfolgreichen Angriff reduziert.

Mitarbeiter-Onlineschulung «Cyber Security Awareness»

META10 bietet den Unternehmen die Mitarbeiter-Onlineschulung «Cyber Security Awareness» an. Diese baut die Cybersicherheitskompetenz der Mitarbeitenden stufenweise auf. Die dafür eingesetzte «Automatisierte Security Awareness Platform» wurde von führenden Cybersecurity-Experten entwickelt:

• Die Geschwindigkeit und der Inhalt des Lehrplans lassen sich für jeden Mitarbeitenden individuell anpassen. Ziel ist es, jeden Mitarbeitenden auf die Cybersicherheitsstufe zu bringen, die seinem Risikoprofil entspricht.
• Die Mitarbeitenden lernen praxisnah namentlich den Umgang mit Passwörtern, Mobilgeräten und vertraulichen Daten, mit der E-Mail-Sicherheit einschliesslich der Sensibilisierung für Phishing sowie das Verhalten in den Sozialen Medien.
• Jedes Thema umfasst verschiedene Levels. Diese richten sich nach dem Grad des Risikos, das vermieden werden soll: Level 1 reicht in der Regel als Schutz vor einfachen und Massenangriffen aus. Zum Schutz vor komplexen und zielgerichteten Cyberangriffen müssen die nächsten Levels abgearbeitet werden.
• Die Mitarbeiter-Onlineschulung «Cyber Security Awareness» arbeitet mit dem automatisierten Einsatz von regelmässigen Motivations-E-Mails an die Lernenden, systematischen Wissenstests sowie simulierten Cyberangriffen auf die Lernenden.