Cybersicherheit ins Onboarding integrieren: 4 Tipps

Haufe Online Redaktion

Cybersicherheit ins Onboarding integrieren: 4 Tipps — Bild: Pexels/George Milton Schwachstelle Mensch: Damit Cyberkriminelle keine Chance haben, müssen Mitarbeitende von Anfang an ausführlich zu Cybersicherheit geschult werden.

Die größten Sicherheitsrisiken in Unternehmen sind die eigenen Mitarbeitenden. Durch Phishing-E-Mails, öffentliche WLAN-Verbindungen und unsichere Webseiten gelingt es Cyberkriminellen nicht selten, an sensible Daten zu gelangen. Um Unternehmen und Daten zu schützen, sollte Cybersicherheit ein fester Teil des Onboarding-Prozesses sein. Vier Tipps.

Wirtschaftsunternehmen in Deutschland stehen im Fokus von Cyberkriminellen weltweit. In den vergangenen zwei Jahren sind zwei von drei Unternehmen in Deutschland, Österreich und der Schweiz nach eigener Auskunft mindestens einmal Opfer eines Cyberangriffs geworden. Das hat eine Umfrage unter 300 Führungskräften überwiegend mittelständischer Unternehmen für den "Cyber Security Report DACH 2025" der Sicherheitsfirma Horizon3.ai ergeben.

Hinzu kommen neue Gefahren durch KI-gestützte Angriffe. So setzen Cyberkriminelle verstärkt auf künstliche Intelligenz, um Deepfakes in Form von Texten, Bildern oder Tönen zu erstellen. Doch auch hier gibt es große Sicherheitslücken: Laut einer Umfrage unter Fach- und Führungskräften in der DACH-Region im Auftrag von DXC Technology, hat in Deutschland jedes dritte Unternehmen keine KI-Abwehr im Einsatz.

Cybersicherheit als Verantwortung aller Mitarbeitenden

Für den Erfolg von Cyberangriffen sind jedoch nicht nur technische Schwachstellen verantwortlich. "Ein großes Einfallstor bilden auch Mitarbeiterinnen und Mitarbeiter", warnt das Bundeskriminalamt. Diese agierten dabei meist nicht in krimineller Absicht, sondern ermöglichten die Angriffe aufgrund von Fahrlässigkeit und mangelndem Problembewusstsein.

Um dieser Herausforderung zu begegnen, müssen Unternehmen neue Mitarbeitende von Anfang an in ihre Sicherheitsstrategie einbinden, empfiehlt Miro Mitrovic, Area Vice President DACH bei Proofpoint. Und dies beginne bereits beim Onboarding. Ein wesentlicher Bestandteil jeder Einarbeitung sollte eine klare Definition dessen sein, was einen Cybervorfall ausmacht – sei es eine ungewöhnliche Netzwerkaktivität, ein unbefugter Zugriffsversuch oder eine Phishing-Mail. Neue Mitarbeiterinnen und Mitarbeiter sollten ermutigt werden, verdächtige Aktivitäten sofort über die offiziellen Kanäle zu melden, damit das Sicherheitsteam schnell handeln kann.

Cybersicherheit ins Onboarding integrieren: vier Tipps

Cybersicherheit sei keine exklusive Aufgabe der IT-Abteilung, sondern eine gemeinsame Verantwortung aller Beschäftigten, betont Mitrovic. Er hat vier Tipps parat, mit denen Unternehmen neue Mitarbeiterinnen und Mitarbeiter bereits beim Onboarding in ihre Cyberverteidigung integrieren können:

1. Kennwortsicherheit: Die erste Verteidigungslinie stärken

Die Wahl eines sicheren Passworts ist eine der einfachsten und zugleich wirksamsten Maßnahmen, um unberechtigten Zugriff auf Unternehmenssysteme zu verhindern. Neue Mitarbeitende sollten lernen, einzigartige und komplexe Passwörter zu erstellen, die aus einer Kombination von Zahlen, Buchstaben und Sonderzeichen bestehen. Ergänzend sollte die Multi-Faktor-Authentifizierung (MFA) verpflichtend eingeführt werden, um eine zusätzliche Sicherheitsebene zu schaffen. Mehr zur sicheren Passwortvergabe lesen Sie hier.

2. Phishing und E-Mail-Betrug: Taktiken der Cyberkriminellen erkennen

Phishing-Angriffe gehören zu den häufigsten Methoden von Cyberkriminellen, um an sensible Informationen zu gelangen. Ob durch gefälschte E-Mails, SMS oder Anrufe – die Angreifer setzen auf psychologische Tricks, um Vertrauen zu schaffen und Mitarbeitende zur Preisgabe vertraulicher Daten zu bewegen. Neue Kolleginnen und Kollegen sollten lernen, typische Warnsignale wie unerwartete Aufforderungen, verdächtige Links oder ein ungewöhnliches Branding zu erkennen.

Wichtig ist auch die Aufklärung über Business Email Compromise (BEC) – eine raffinierte Methode, bei der sich Angreifer als Vorgesetzte oder Kollegen ausgeben. Grundsätzlich gilt: Verdächtige Anfragen müssen immer persönlich über offizielle Kanäle bestätigt werden, bevor gehandelt wird.

3. Datenschutz und Gerätesicherheit: Vertrauliche Daten schützen

Der Schutz sensibler Unternehmensdaten beginnt mit dem richtigen Umgang und der Sicherung von Geräten. Neue Mitarbeitende sollten umfassend über die Datenschutzrichtlinien des Unternehmens informiert werden. Dazu gehört auch die Aufforderung, nur von der Organisation genehmigte Software zu verwenden, Geräte bei Nichtbenutzung zu sperren und verlorene oder gestohlene Geräte unverzüglich der IT-Abteilung zu melden. (Lesen Sie dazu: Was beim Datenschutz im Homeoffice zu beachten ist).

Darüber hinaus sollten Beschäftigte in sicherem Online-Verhalten geschult werden wie beispielsweise öffentliche WLAN-Netzwerke zu meiden und Website-Adressen auf Sicherheitsmerkmale wie "https://" und das Schlosssymbol hin zu überprüfen. Diese einfachen Schritte tragen wesentlich dazu bei, die Angriffsfläche des Unternehmens zu minimieren.

4. Neu entwickelte Bedrohungen: Vorbereitungen für das Unbekannte

Cyberkriminelle setzen zunehmend auf ausgeklügelte Taktiken wie KI-gestützte Angriffe, Deepfakes und die Manipulation von Kollaborationstools wie Teams oder Slack. Neue Mitarbeitende müssen für diese dynamischen Bedrohungen sensibilisiert werden und lernen, sich gegen täuschend echte Angriffe zu wappnen. Ein flexibles Security-Awareness-Programm, das regelmäßig aktualisiert wird, ist darum unerlässlich. Nur so können Unternehmen sicherstellen, dass ihre Mitarbeitende auf die neuesten Angriffsmethoden vorbereitet sind und schnell angemessen reagieren können.

Das könnte Sie auch interessieren:

Cybersicherheit am Arbeitsplatz geht alle an

Eine "Human Firewall" bilden: Security-Awareness-Trainings mit Gamification

Top-Thema Digitales Onboarding