Rawpixel.com - stock.adobe.com
Eine Sicherheitskultur ist mehr als nur Security Awareness
Mit technischen Lösungen lässt sich Sicherheit nur begrenzt gewährleisten. Wenn alle Mitarbeiter Verantwortung für die Security übernehmen, profitiert die ganze Organisation.
Sicherheitsverantwortliche haben erkannt, dass der menschliche Faktor bei der Bekämpfung von Datenlecks und Cyberangriffen mittlerweile die wichtigste Rolle spielt. Dies belegt auch der 2021er Verizon DBIR, laut dem bei 85 Prozent aller erfolgreichen Cyberangriffe ein menschliches Element zum Tragen kam, und der bestätigt, dass Social Engineering die am häufigsten genutzte Angriffsform darstellt.
Mitarbeiter wurden in diesem Zusammenhang bereits eher unschmeichelhaft als „das schwächste Glied“, „die erste Verteidigungslinie“ oder – was noch beunruhigender anmutet – als „die letzte Bastion“ bezeichnet. Aber jede dieser Bezeichnungen ist in gewisser Weise irreführend. Richtig ist angesichts der heutigen Bedrohungslandschaft jedoch: Menschen sind die primären Ziele digitaler Attacken.
Wenn jedoch die Mehrzahl der Angriffe speziell auf menschliche Benutzer abzielt und versucht wird, diese dazu zu bringen, auf einen gefährlichen Link zu klicken, Anmeldedaten preiszugeben, einen Dateianhang zu öffnen oder schlicht eine gefälschte Rechnung zu bezahlen, wird es Zeit, über die Schaffung einer nachhaltigen Sicherheitskultur zur Erkennung und Abwehr solcher Angriffe nachzudenken. Doch warum tun sich die meisten Security-Verantwortlichen (Chief Information Security Officers, CISOs) so schwer damit?
Ein Hauptgrund ist sicherlich, dass zur Etablierung einer entsprechenden Kultur – die im Detail durchdacht und sorgfältig aufgebaut werden muss –, vielen Sicherheitsexperten eine klare Vision des beabsichtigten Ergebnisses fehlt. Zwar verfügen Unternehmen bereits über eine eigene Unternehmenskultur, aber Sicherheitsexperten ist der Weg, den es für eine Stärkung der Sicherheitskultur zu gehen gilt, selten auf den ersten Blick ersichtlich.
Eine verbesserte Schulung in dieser Hinsicht sowie eine Förderung der Cybersecurity Awareness scheinen hierzu das Mittel der Wahl zu sein. Allerdings lassen sich dabei leider mit der Zeit immer weniger Erfolge erzielen. Daher sollte noch mehr getan werden, um das Verhalten der Mitarbeiter zu verändern.
Denn die Erfahrung zeigt, dass die Sensibilisierung der Mitarbeiter für sich genommen, noch nicht die gewünschten Ergebnisse liefert. Im Rahmen der Umfrage für den aktuellen Voice of the CISO Report von Proofpoint gaben zwar 70 Prozent der befragten CISOs hierzulande an, dass ihre Mitarbeiter ihre Rolle beim Schutz des Unternehmens vor Cyberbedrohungen verstehen. Trotzdem halten 59 Prozent von ihnen menschliches Versagen noch immer für die größte Schwachstelle ihrer Organisation. Für die Verantwortlichen stellt sich folglich die Frage: Welches Ergebnis möchte ich erreichen und wie lässt sich eine nachhaltige Sicherheitskultur aufbauen?
Das Ziel einer Sicherheitskultur
Jeder CISO würde es gern sehen, dass die gesamte Belegschaft des Unternehmens sich als Teil des erweiterten Sicherheitsteams versteht. Dass sich die Mitarbeiter also der Cyberbedrohungen bewusst sind und verstehen, welche Rolle ihnen bei der Entstehung, Erkennung und Eindämmung dieses Risikos zukommt. Dazu benötigen IT-Security-Teams Endanwender in ihrem Unternehmen, die kontinuierlich das richtige Verhalten an den Tag legen, vernünftige Entscheidungen in Sachen IT-Sicherheit treffen und sich im Zweifel an die Experten wenden, wenn operative Konflikte entstehen.
Dieses Ziel erfordert Engagement auf beiden Seiten:
- Die Mitarbeiter müssen den Wert gelebter Cybersicherheit und die Gefahr ihres Fehlens erkennen. Zudem ist es nötig, dass sie sich bewusst werden, wann sie auf ihr erlerntes Wissen bezüglich Cybersecurity zurückgreifen müssen und wann erkannte Probleme besser eskaliert werden sollten.
- Das Sicherheitsteam sollte Zeit und Aufmerksamkeit darauf verwenden, dass die Mitarbeiter stets über aktuelle Techniken und Vorgehensweisen der Angreifer auf dem Laufenden sind und Bedrohungen in all ihren Formen erkennen können. Dieses Training muss regelmäßig aufgefrischt werden, um mit der aktuellen Bedrohungslandschaft und den neuesten Tools und Taktiken der Cyberkriminellen Schritt halten zu können.
„Die Sicherheitskultur muss sich auf das gesamte Unternehmen erstrecken und darf nicht nur ein Anliegen des CISOs sein.“
Andrew Rose, Proofpoint
Beides ist nicht leicht zu bewerkstelligen, insbesondere, wenn die organisatorischen Ressourcen begrenzt sind. Hinzukommt, dass viele andere interne und externe Interessensgruppen um die Aufmerksamkeit der Mitarbeiter buhlen oder sich daraus sogar potenziell widersprüchliche Botschaften ergeben – wie „Innovation vorantreiben“ vs. „sich an die Richtlinien halten“.
Eine Sicherheitskultur umsetzen
Es gibt drei wichtige Schritte, die auf dem Weg in Richtung einer erfolgreichen Sicherheitskultur zu gehen sind:
- Üblicherweise ist es der CISO, der sich mit dem Thema Cybersicherheit an die Mitarbeiter wendet und versucht, sie auf eine bestimmte Weise zu beeinflussen, damit sie die Notwendigkeit der Umsetzung verstehen und entsprechend handeln. Dies erfüllt zwar die Compliance-Anforderungen und adressiert das Bedürfnis des Unternehmens nach „Awareness“, aber die Wirkung hält sich in Grenzen. Auch die Wiederholung führt hier nicht zum Erfolg. So ist der Stand der Dinge in den meisten Unternehmen derzeit: Der CISO ist die einzige „Stimme“, die die Mitarbeiter dazu bewegen soll, die richtigen Entscheidungen zu treffen.
- In einem zweiten Schritt wird für einen Durchbruch gesorgt – ein veränderter Fokus, bei dem „Awareness“ Teil eines übergeordneten Ziels wird: die Verhaltensänderung. Das hierzu nötige Programm stützt sich auf die umfassenden Erkenntnisse der Verhaltenswissenschaft und konzentriert sich darauf, die Mitarbeiter dazu zu bringen, ihr Verhalten anzupassen, selbst wenn sie unter Druck stehen. Ist dies erst einmal umgesetzt, gibt es für die Mitarbeiter zwei „Stimmen“, die ihre Handlungen beeinflussen: die des CISO und ihre innere, die sie daran erinnert welches Verhalten in der jeweiligen Situation das richtige wäre. Damit werden die Mitarbeiter in die Lage versetzt, die passenden Entscheidungen zu treffen. Allerdings werden sie damit nicht unfehlbar. Vorgaben der Vorgesetzten, hohes Arbeitsaufkommen oder sozialer Druck können die besten Absichten der Anwender zunichtemachen.
- Der letzte Schritt ist dann vollzogen, wenn in Sachen Cybersicherheit in der Belegschaft ein Konsens existiert und die dazugehörigen Best Practices allgemein akzeptiert sind. Dadurch entsteht eine positive Form des Gruppendrucks und Abweichungen von sicheren Arbeitsweisen werden dadurch weniger akzeptabel. In diesem Stadium gibt es für die Mitarbeiter mehrere Stimmen, die auf sie einwirken und das richtige Verhalten unterstützen – den CISO, ihre innere Stimme und die Stimme ihrer Kollegen.
Diese letzte Stufe, in der die Erwartung des Unternehmens und das Verhalten der Mitarbeiter darin übereinstimmen, dass Sicherheit eine Priorität genießt, ist das Ziel, das es zu erreichen gilt. Für so manchen mag dies unrealistisch klingen beziehungsweise als nicht umsetzbar erscheinen. Doch lässt sich dies erreichen, indem sicherstellt wird, dass Strategien und Entscheidungen, die gegen die etablierte Sicherheitskultur verstoßen, unabhängig von Stellung desjenigen, der sie vorgibt beziehungsweise trifft, in Frage gestellt werden.
Die Sicherheitskultur muss sich auf das gesamte Unternehmen erstrecken und darf nicht nur ein Anliegen des CISOs sein. Wenn alle Mitarbeiter persönliche Verantwortung für die Sicherheit übernehmen, so wie es zum Beispiel bei Fluggesellschaften oder Ölplattformen der Fall ist, dann profitiert die ganze Organisation davon.
Über den Autor:
Andrew Rose ist President CISO, EMEA bei Proofpoint.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.