Security-First

Der Schlüssel zum Cyber-Erfolg liegt im Aufbau einer Security-First-Kultur

Der Schlüssel zum Cyber-Erfolg liegt im Aufbau einer Security-First-Kultur

Von Art Gilliland, CEO von Delinea

Autoalarme lösen heute kaum noch Besorgnis aus, sondern in der Regel entweder Gleichgültigkeit oder sogar Verärgerung. Ebenso verhält es sich nicht selten mit Warnungen und Empfehlungen im Bereich der Cybersicherheit. Zwar werden Unternehmen immer häufiger darauf hingewiesen, die IT-Security-Fähigkeiten und -Kenntnisse ihrer Mitarbeitenden zu schulen und auffälliges Verhalten zu melden, dennoch sind proaktive Maßnahmen in diesem Bereich eher rar. Kaum ein Unternehmen geht über elementare Sicherheitsschulungen hinaus.

Art Gilliland, CEO von Delinea

Gleichzeitig begehen viele Unternehmen den schwerwiegenden Fehler, die gesamte Sicherheitsverantwortung in die Hände der IT- und Sicherheitsteams zu legen. Dieser Ansatz mag auf den ersten Blick richtig sein, hat sich aber immer wieder als äußerst ineffektiv erwiesen, insbesondere deshalb, weil Cyberkriminelle ihre Social-Engineering-Taktiken immer weiter verfeinern und für ihre Angriffe häufig Benutzer-Konten verwenden.

Wie eine Studie von Tessian ergab, sind 30 Prozent der Mitarbeitenden davon überzeugt, dass sie bei der Aufrechterhaltung der Cyber Security in ihrem Unternehmen keine Rolle spielen. Und nur 39 Prozent der Mitarbeitenden würden laut eigenen Angaben einen Sicherheitsvorfall überhaupt melden. Diese Einstellung ist umso gefährlicher, als sich die traditionellen Zugriffsgrenzen in Unternehmen immer mehr auflösen und Mitarbeitende zur Erfüllung ihrer Aufgaben immer häufiger Zugriff auf sensible Unternehmensdaten und -systeme erhalten.

Doch lässt sich diese Einstellung der Belegschaft bezüglich ihrer persönlichen Verantwortlichkeit beim Schutz des Unternehmens vor Cyberkriminalität ändern? Das tut sie, und der Schlüssel hierfür liegt in der Entwicklung einer integrierten Cybersicherheitsstrategie, die alle Aspekte – einschließlich aller Interessengruppen – des Unternehmens einbezieht. Diese Strategie überwindet Abteilungsgrenzen und schafft eine Kultur der Verantwortung, in der jedes Teammitglied eine Rolle spielt.

Um eine solche Cyberkultur zu etablieren, müssen Unternehmen konkrete Schritte umsetzen, um erstens den Mitarbeitenden die Bedeutung der Cybersicherheit zu vermitteln und ihnen zweitens die entsprechenden Werkzeuge, Fähigkeiten und Kenntnisse an die Hand zu geben.

Sehen wir uns einige kritische Bereiche an, in denen Unternehmen beginnen können, diesen Wandel zu unterstützen und zu forcieren.

Denken Sie Sicherheit von oben nach unten

Soll in einem Unternehmen eine effiziente Sicherheitskultur etabliert werden, ist zunächst einmal die Führungsetage gefragt. Denn räumen Geschäftsführung und Vorstand der IT-Security nicht den nötigen Stellenwert ein, wird es auch die Belegschaft nicht tun. Nur wenn die Führungskräfte selbst mit gutem Beispiel vorangehen und das Thema „von oben“ in alle Bereiche des Unternehmens integrieren, wird die Sicherheit auch langfristig in das tägliche Handeln aller Mitarbeitenden eingebunden werden.

Dies bedeutet, dass das Thema Sicherheit in den Mittelpunkt sämtlicher Geschäftsstrategien gestellt werden muss, die auf Führungsebene diskutiert werden. So muss beispielsweise rechtzeitig erörtert werden, ob die Implementierung eines neuen Collaboration-Tools auch eine spezielle Sicherheitsschulung und -konfiguration erfordert, anstatt nur die gewünschte Optimierung der Mitarbeiterkommunikation im Blick zu haben. Daher müssen auch Sicherheitsexperten in diese Diskussionen einbezogen werden, die die dezidierte Sicherheitslage der einzelnen Abteilungen, sei es die Buchhaltung oder die Personalabteilung, und deren spezifische und einzigartige Risiken kennen und verstehen. Auf diese Weise können Gefährdungen identifiziert und zusätzliche Budgets bereitgestellt werden.

Reduzieren Sie die Sicherheitskomplexität

Aus Angst vor Cyberangriffen und den oft schwerwiegenden Auswirkungen auf Gewinn, Reputation und Kundenvertrauen sind Unternehmen meist nicht zurückhaltend, wenn es um die Implementierung immer neuer Sicherheitslösungen geht, immerhin sollen die IT-Infrastruktur und alle Anlagen bestmöglich abgesichert sein. Bei der Umsetzung dieser Strategie wird jedoch oft wenig Rücksicht auf die Endbenutzer genommen – also auf diejenigen, die zwar keine Sicherheitsexperten sind, aber dennoch tagtäglich mit den neuen Tools arbeiten müssen.

Das Problem: Viele Sicherheitslösungen, die Unternehmen einsetzen, sind hochkomplex, was auf Seiten der Mitarbeitenden zu Widerständen, Reibungsverlusten, Produktivitätseinbußen und Ermüdungserscheinungen führen kann, und die Cyber-Resilienz, die eigentlich erhöht werden soll, tatsächlich mindert. Der versprochene Sicherheitsnutzen bleibt also aus und die Investition war letztlich eine unnötige Ausgabe. Aus diesem Grund ist es unerlässlich, dass Unternehmen grundsätzlich auf Sicherheitstools setzen, die leicht zu bedienen sind und auch die Benutzererfahrung berücksichtigen. So wird das Risiko, dass sie umgangen oder ignoriert werden, minimiert und der Sicherheitsnutzen maximiert.

Schärfen Sie das Sicherheitsbewusstsein und ernennen Sie Cybersicherheitsbeauftragte

Laut einer Studie des Weltwirtschaftsforums lassen sich 95 Prozent aller Cyberangriffe auf menschliches Versagen zurückführen. Umso wichtiger ist es, das Sicherheitsbewusstsein der Mitarbeitenden zu schärfen und sie regelmäßig zu schulen. Nur so kann sichergestellt werden, dass Mitarbeitende in der Lage sind, frühe Anzeichen bösartiger Aktivitäten zu erkennen, Passwörter sicher zu erstellen und zu speichern sowie Social-Engineering-Versuche zu erkennen und abzuwehren.

Darüber hinaus sollten Unternehmen auch in Erwägung ziehen, für jede Abteilung einen „Cybersicherheitsbeauftragten“ zu benennen, der den Kollegen bei der Durchsetzung von Sicherheitsrichtlinien zur Seite steht. Dabei sollte es sich um eine Person handeln, die die besonderen Sicherheits- und Compliance-Herausforderungen einer Abteilung kennt und bei Bedarf für zusätzliche Sicherheitsressourcen und Schulungen einstehen kann.

Fazit

Der Aufbau einer soliden Sicherheitskultur braucht Zeit. Er erfordert ein Umdenken, weg von einer „Ich bin nicht dafür verantwortlich“-Mentalität, hin zu einem gemeinsamen, wertschaffenden Ansatz. Dies funktioniert gut, wenn in Tools investiert wird, die die Benutzer vor ihrem eigenen Risiko-Verhalten schützen und ihnen helfen, aus Fehlern zu lernen. „Irgendwelche coole“ Funktionen sorgen zwar für kurzfristige Aufmerksamkeit, nachhaltige Sicherheit entsteht jedoch dann, wenn Produkte in Kombination mit einer soliden Einbeziehung der Endbenutzer eingesetzt werden. Am Ende ist es ein Gleichgewicht zwischen Technologie und Mensch, welches das Risiko senkt und die Sicherheitseffektivität erhöht.