Human Firewall: Wie man erfolgreich eine Cybersecurity Culture aufbaut
von Tina Siering
IT-Sicherheit hängt nicht nur von der Infrastruktur und eingesetzten Sicherheitstechnologien ab, sondern zu einem bedeutenden Teil auch von den Menschen, die die digitalen Systeme nutzen. Während die verwendeten Security-Technologien mittlerweile hochzuverlässig arbeiten, wird der Mensch immer mehr zur Schwachstelle. Cyberkriminelle suchen sich in der Regel den einfachsten Weg, um an Daten zu gelangen oder in ein Netzwerk einzudringen – und dieser Weg führt viel zu häufig über unbedarfte, uninformierte Mitarbeiter und Mitarbeiterinnen. Eine funktionierende Kultur der Cybersicherheit zu etablieren, alle Mitarbeiter regelmäßig für bestehende Bedrohungen zu sensibilisieren und als „human firewall“ in das Sicherheitskonzept einzubinden, ist heute entscheidend für die gesamte IT-Sicherheit eines Unternehmens.
Was ist Cybersecurity Culture – und warum ist sie so wichtig?
Unter dem Begriff Cybersecurity Culture wird ein kontinuierlich geschärftes Sicherheitsbewusstsein der Mitarbeiterinnen und Mitarbeiter eines Unternehmens zusammengefasst. Die Cybersecurity Culture beinhaltet Verhaltensweisen, spezifisches Wissen um mögliche Cyberbedrohungen und die Überzeugung der involvierten Personen, diesen Bedrohungen durch das eigene Handeln proaktiv entgegenzutreten. Derzeit ist eine Cybersecurity Culture leider in vielen Unternehmen und Organisationen entweder gar nicht vorhanden oder nur sehr schwach ausgeprägt. Während Unternehmen die vorhandenen Sicherheitstechnologien in den letzten Jahren massiv ausgebaut haben, werden Schulungen der Belegschaft häufig vernachlässigt. In einer weltweit durchgeführten Studie zeigen sich erschreckende Wissenslücken gerade bei grundlegenden Verhaltensweisen. So nutzt ein Viertel aller Mitarbeiter lediglich ein Passwort für alle Konten – die gleiche Anzahl setzt trotz aller Aufklärungskampagnen zusätzlich noch auf viel zu kurze oder einfache Passwörter. Erschreckende 77 % aller Mitarbeiter schützen ihre Passwörter nicht vor dem Zugriff Unbefugter. Woher kommt diese Diskrepanz zwischen gelebter und gewünschter Cybersecurity Culture?
Der aktuelle Cybersecurity Culture Report liefert die Antwort. Ein überwältigender Teil der Mitarbeiter weiß schlichtweg nicht, wie er oder sie durch das eigene Handeln den Schutz vor Cyberbedrohungen im Unternehmen verbessern kann. Oder in Zahlen ausgedrückt: Aktuell kennen nur drei von zehn Mitarbeitern und Mitarbeiterinnen ihren Kompetenzbereich und ihre Rolle beim Thema Cybersecurity. Daraus lässt sich eines schlussfolgern: Die Cybersecurity muss den Menschen verstärkt in den Fokus setzen. Denn während technische Sicherheitsmaßnahmen Angriffe zuverlässig abwehren können, setzen Cyberkriminelle verstärkt auf psychologische Manipulationen. Durch Social Engineering werden menschliche Schwachstellen ausgenutzt, und das in größerem Umfang als jemals zuvor. Es ist also an der Zeit, eine funktionierende Cybersecurity Culture aufzubauen!
9 Schritte, um erfolgreiche eine Cybersecurity Culture aufzubauen
Ist Ihr Unternehmen gut genug für den Ernstfall vorbereitet? Verfügen Ihre Mitarbeiter und Mitarbeiterinnen über die nötige Expertise, um angemessen auf einen Sicherheitsvorfall reagieren zu können? Werden die Sicherheitsprozesse des Unternehmens mit Planübungen auf technischer Seite und vor allem auch in der Führungsebene regelmäßig getestet? Falls nicht, sollten Sie unbedingt die folgenden neun Schritte zu einer erfolgreich aufgebauten Cybersecurity Culture beschreiten.
Schritt 1: Umfassende Aufklärung
In vielen Unternehmen wissen die Angestellten schlichtweg nicht, welchen Wert die durch den persönlichen Einsatz zu schützenden Daten haben. Ob sensible Kundendaten, Forschungsergebnisse oder die nächste Marketingaktion: Mit einer umfassenden Aufklärungskampagne lassen sich alle Beteiligten „mit ins Boot holen“. Je offener die Gefährdung des Unternehmens – und damit auch jedes einzelnen Arbeitsplatzes – durch Cyberbedrohungen kommuniziert werden, desto mehr Verständnis für Verhaltensänderungen lässt sich erreichen.
Schritt 2: Technische Unzulänglichkeiten darstellen
Die Belegschaft weiß sicherlich, dass die von Ihrem Unternehmen eingesetzten technischen Security-Maßnahmen nicht perfekt sind – aber viele Mitarbeiter und Mitarbeiterinnen verlassen sich dennoch auf den Schutz durch Firewalls, Antivirus-Software und „die IT“. Es ist daher umso wichtiger, technische Schwachstellen klar und präzise aufzuzeigen und klarzumachen, dass die beste Technik nur immer so zuverlässig ist, wie die Menschen, die sie benutzen.
Schritt 3: Neue Schutzmaßnahmen erklären
Zwei-Faktor-Authentifizierungen oder der Einsatz eines VPN sind aus Security-Sicht wertvolle Schutzmaßnahmen. Für die Kolleginnen und Kollegen aus der Verwaltung oder Produktion sind derartige Maßnahmen aber zunächst eine Verkomplizierung der täglichen Arbeitsroutinen. Sensibilisieren Sie die Belegschaft daher durch regelmäßige Info-Updates zu neuen Schutzmaßnahmen. Erklären Sie den Sinn hinter der Technik und stellen Sie klar und deutlich die Vorteile heraus, die sich für jeden Einzelnen innerhalb des Unternehmens dadurch ergeben.
Schritt 4: Barrieren abbauen und Meldungen vereinfachen
In vielen Unternehmen hält sich hartnäckig das Vorurteil, dass eine Kontaktaufnahme mit dem IT-Sicherheitsteam bedeutet, man hätte etwas schwerwiegendes falsch gemacht. Angst vor Abmahnungen oder gar Jobverlust führt zu „Funkstille“ – die Sicherheitsteams bekommen dadurch viele Incidents erst gar nicht mit. Vereinfachen Sie für eine funktionierende Cybersecurity Culture daher unbedingt die Kontaktaufnahme. Wenn die Belegschaft weiß, wie sie ohne Barrieren verdächtige Mails melden oder die Authentizität eines Anrufes prüfen können, wird diese Gelegenheit gerne genutzt. Vor allem dann, wenn routinemäßig kommuniziert wird, dass die Sicherheitsvorfälle keinesfalls die „Schuld“ der meldenden Person sind. Es ist viel wichtiger, im Fall der Fälle die korrekten Maßnahmen zu ergreifen und gut vorbereitet zu sein. Hilfreich sind bereitstehende „Notfall-Handbücher“ für ein funktionierendes Vorfallmanagement.
Schritt 5: Verzichten Sie auf Bestrafungen
Eltern wissen: Fehler bestrafen ist deutlich weniger effizient als die Belohnung von gutem Verhalten. Mit dem Faktor „Angst“ lässt sich bestenfalls das Einverständnis zu Maßnahmen einholen – jedoch keine Akzeptanz. Und gerade diese benötigen Unternehmen für eine funktionierende Cybersecurity Culture. Setzen Sie daher auf die Bestärkung von korrektem Verhalten – und vergessen Sie jegliche Form von Bestrafungen bei Fehlverhalten der Mitarbeiterinnen und Mitarbeiter.
Schritt 6: Mit Spaß lernt es sich leichter
Schulungen im Bereich der Cybersecurity sind unverzichtbare Maßnahmen. Leider werden die Schulungen viel zu oft als Präsentation ganzer Maßnahmenkataloge abgehalten, die die Zuschauer verschrecken, langweilen oder mit unverständlichem „Technik-Sprech“ verunsichern. Damit die Belegschaft das Thema Cybersecurity ernst nimmt, gehört eine Schulung, die Spaß macht, ganz oben auf die Agenda. Je verständlicher die Themen dargestellt werden und je besser die Inhalte an reale Erfahrungen gekoppelt werden, desto höher ist die Bereitschaft des Publikums, die Botschaften auch tatsächlich zu verinnerlichen.
Schritt 7: Keine abstrakten Inhalte, sondern die handfeste Realität
Wenn es um Schulungen geht, können die Inhalte gar nicht praxisnah genug sein. Mit Beispielen aus dem „realen Leben“, die das Publikum im Idealfall aus den Nachrichten oder den eigenen Erfahrungen kennt, bringen Sie die Inhalte nachhaltig ins Gedächtnis.
Schritt 8: Führungskräfte einbeziehen
Die leitenden Angestellten in einem Unternehmen haben den umfangreichsten Zugriff auf sensible Daten und Systeme. Entsprechend oft geraten sie ins Fadenkreuz von Cyberangreifern. Leider sind gerade die Führungskräfte dafür bekannt, Maßnahmen für eine gute Cyber Hygiene gerne auch mal zu ignorieren. An Schulungen müssen daher gerade Führungskräfte immer und ausnahmslos genauso teilnehmen, wie alle anderen Mitarbeiter und Mitarbeiterinnen. Darüber hinaus sollten sich Führungskräfte ihrer exponierten Lage bewusst werden und als Vorbild denken und handeln.
Schritt 9: Cyber-Abwehrstrategien entwickeln und implementieren
Die Voraussetzung einer permanenten Incident Response Readiness – und damit einer funktionierenden Cybersecurity Culture – ist die Entwicklung und Implementierung einer umfassenden Cyber-Abwehrstrategie. Nur so lässt sich die Fähigkeit Ihrer Teams zur Erkennung, Abwehr und Eindämmung komplexer Angriffe sicherstellen.
Fazit
In den meisten Unternehmen sind aktuell zuverlässige Sicherheits-Tools im Einsatz, die einen Großteil „klassischer“ Cyberbedrohungen ausschalten. Leider wissen das auch Cyberkriminelle – und greifen gezielt dort an, wo sich Schwachstellen auftun. Die „Schwachstelle Mensch“ gerät immer häufiger ins Visier von Social Engineers, die durch Manipulationen, aufgebautem Druck und perfiden Strategien über Mitarbeiter und Mitarbeiterinnen Zugriff auf sensible Daten und Firmengeheimnisse erlangen. Mit einer unternehmensweiten Cybersecurity Culture wird die dringend benötigte „Human Firewall“ errichtet. Sensibilisierte Mitarbeiter, die durch regelmäßige Schulungen aufgeklärt und in Sicherheitsstrategien einbezogen werden, sind die wohl wichtigste Waffe im Kampf mit modernen Cyberbedrohungen aller Art.