Know-how ist unerlässlich
Die Mitarbeiter werden schon Bescheid wissen – denkt Ihre Unternehmensleitung so, dann ist es nur eine Frage der Zeit, bis es zum grossen Schaden kommt.
Vielmehr ist eine solche Denke grob fahrlässig. Ihr Unternehmen muss alles daransetzen, die Beschäftigten mit dem relevanten Wissen auszustatten, das sie im Fall der Fälle brauchen.
Neue Herausforderungen durch KI
Natürlich versuchen Cyberkriminelle, ganz klassisch an sensible Informationen zu kommen oder Zahlungen zu veranlassen. Dementsprechend sind auch die klassischen Erkennungsmerkmale weiterhin relevant. So z. B.:
- unpersönliche, unpassende oder falsche Anrede
- gefälschte Absender- oder Linkadressen unter Verwendung von Buchstaben oder Zahlendrehern
- Aufbau von Handlungsdruck, nach dem Schema „Ihr Konto wird sofort gesperrt“
Allerdings bietet KI Cyberkriminellen ganz neue Möglichkeiten, Menschen und damit auch die Beschäftigten Ihres Unternehmens in die Falle zu locken.
So wird KI eingesetzt, um
- täuschend echte Fälschungen von E-Mails, Schreiben oder Webseiten zu erstellen,
- das Opfer zu analysieren und typische Schwachpunkte zu finden,
- Stimmen und Nachrichten zu fälschen, um z. B. Forderungen des falschen Chefs echt wirken zu lassen,
- SMS und Messenger-Nachrichten so zu gestalten, dass diese tatsächlich vom echten Absender zu stammen scheinen.
Cyberkriminelle entdecken den Brief für sich
Die Leichtgläubigkeit und Täuschbarkeit von Menschen ausnutzen – darauf setzen Cyberkriminelle besonders. Und das klappt besonders gut mit Schreiben, die anscheinend von Behörden stammen oder die klassisch per Post verschickt werden.
Wirkt das Schreiben oder etwa eine Rechnung echt, denkt mancher Mitarbeiter nicht lange nach. Das, was gefordert wird, wird ohne Umwege umgesetzt.
Mancher vertrauensselige Mensch macht das nicht anders, wenn es um QR-Codes geht. Die werden inzwischen ebenfalls gern gefälscht und über die echten QR-Codes an Ladesäulen geklebt. #
Das Ziel: Die Opfer werden zur Eingabe von Kreditkartendaten auf gefälschten Seiten von Stromanbietern verleitet.
Sensibilisieren Sie auf die Schnelle
Sprechen Sie etwa mit der IT-Abteilung, dem Finanzbereich oder den zuständigen Kollegen im Bereich Cybersecurity, inwieweit sie aktuelle Beispiele für neue Vorgehensweisen von Cyberkriminellen haben.
Passen Sie dann das nachfolgende Muster so an, dass dieses auf Ihr Unternehmen zugeschnitten ist und die spezifischen Vorfälle berücksichtigt.
Sorgen Sie für Abwechslung
Damit die Mitarbeiter mit dem nötigen Wissen versorgt werden, muss es nicht immer eine E-Mail sein. Denken Sie auch an einen Artikel im Intranet. Hier haben Sie meist viel mehr Platz, um etwa auch echte Beispiele aus dem Unternehmen unterzubringen. Alternativ können Sie auch eine kurze virtuelle Schulung oder Sprechstunde anbieten.
Das kann im Ergebnis nachhaltiger wirken, gerade wenn individuelle Fragen beantwortet werden können. Möglicherweise ist Ihre Unternehmensleitung auch bereit, aufmerksamkeitsstarke Plakate drucken zu lassen. Dort können Sie im Wortsinn plakativ auf die wichtigsten Fallen hinweisen.
Schauen Sie auch auf das Drumherum
Dass Cyberkriminelle sich immer wieder etwas Neues einfallen lassen und dass die Mitarbeiter sensibilisiert werden müssen, damit sie darauf nicht hereinfallen, ist eine Sache. Eine andere Sache ist, dass Ihr Unternehmen passende Anlaufstellen und Prozesse hat, um im Fall der Fälle schnell und professionell mit einem entsprechenden Vorfall umgehen zu können.
Denn die beste Hotline bringt nichts, wenn dort ständig besetzt ist oder eine Bandansage läuft. Entscheidend ist, dass Zuständigkeiten, Abläufe und Kommunikationswege klar definiert, bekannt und im Ernstfall auch tatsächlich funktionsfähig sind. Prüfen Sie daher im Rahmen Ihrer Aufgaben auch die folgenden Aspekte:
- Regelungen: Bestehen klar kommunizierte Anweisungen für die Mitarbeiter, wie diese bei einem Vorfall reagieren müssen? Nur wenn bekannt ist, was zu tun ist, besteht eine erhöhte Wahrscheinlichkeit, dass entsprechend gehandelt wird.
- Meldewege: Bestehen niederschwellige Möglichkeiten, Vorfälle zu melden oder speziellen Rat einzuholen, etwa bei der Hotline eines Cybersecurity-Teams? Es den Mitarbeitern leicht zu machen kann entscheidend sein. Komplizierte Formulare wirken eher abschreckend. Besser sind E-Mail, Telefon oder ein Chat mit direktem Kontakt zu den Spezialisten.
- Erreichbarkeit: Wenn etwas schiefgeht, muss schnell gehandelt werden. Sind die Kontaktmöglichkeiten oder Spezialisten auch zu Randzeiten oder am Wochenende verfügbar?
