Rawpixel.com - Fotolia

Tipps für eine echte Cyber-Security-Kultur im Unternehmen

Technologie alleine garantiert keine Sicherheit. Der Aufbau einer starken Sicherheitskultur im Unternehmen erfordert Engagement, aber dies ist gut investiert und notwendig.

Heutzutage ist beinahe jedes Unternehmen auf einen stabilen und sicheren IT-Betrieb angewiesen, weshalb Cyberrisiken die gleiche Aufmerksamkeit verdienen wie alle anderen Risiken. Die meisten Führungskräfte haben das verstanden: Der Global Risk Report 2018 des Weltwirtschaftsforums zeigt, dass die einflussreichsten Akteure Cyberangriffe und Datenschutzvorfälle, die zu Datendiebstahl oder Betrug führen, als große Bedrohung für ihr Unternehmen ansehen.

Die Entwicklung einer starken Cybersicherheitsstrategie erfordert, die Quelle der Verstöße zu verstehen. Der Verizon Data Breach Investigations Report 2018 zeigt, dass die zweithäufigste Ursache für Sicherheitsverstöße die legitimen Zugriffsrechte der eigenen Mitarbeiter sind. Die Ursache kann entweder ein menschlicher Fehler oder ein gut geplanter Angriff sein, weil Hacker oft die schlecht vorbereitete Verteidigungslinie ins Visier nehmen: Unaufmerksame Mitarbeiter.

Um Cyberrisiken zu reduzieren, muss deshalb eine Unternehmenskultur entwickelt werden, die die Cybersicherheit schätzt und ein Bewusstsein entwickelt. Das erfordert ein Umdenken aller Mitarbeiter. Vier Schritte sind notwendig, um diese Sicherheitskultur in einem Unternehmen zu etablieren und die Mitarbeiter zum Umdenken zu bewegen.

Was ist eine Sicherheitskultur?

Eine Sicherheitskultur ist eine Facette der breiteren Unternehmenskultur, die die Mitarbeiter ermutigt, Entscheidungen zu treffen und ihre täglichen Aufgaben im Einklang mit den Sicherheitsrichtlinien des Unternehmens zu erfüllen. Durch die Einbettung von Best Practices in die täglichen Aktivitäten der Mitarbeiter können Unternehmen ihre Cyberrisiken minimieren und die Einhaltung selbst der strengsten Compliance-Vorschriften wie der DSGVO verbessern. Das beinhaltet mehr als nur Security Awareness beziehungsweise ein Sicherheitsbewusstsein. Wie CLTRe in seinem Security Culture Report 2017 erklärt, ist Bewusstsein ein engerer Begriff: Bewusstsein bedeutet, dass die Benutzer die Sicherheitsverfahren kennen, aber nicht unbedingt, dass sie ihnen folgen. Eine Sicherheitskultur ist jedoch eine gesunde Mischung aus Wissen und Durchsetzung.

Tipp 1: Die Führungsebene einbeziehen

Alle großen Veränderungen in einem Unternehmen beginnen auf der Führungsebene und deshalb muss das Interesse des Führungsteams geweckt werden, die Cybersicherheit aktiv zu steuern und zu fördern. Sie müssen bereit sein, Sicherheit dem Rest des Unternehmens als ein unternehmensweites Thema und einen wichtigen Teil der Unternehmenskultur zu kommunizieren.

Um dieses Engagement zu erreichen, sind regelmäßige Treffen zwischen C-Level-Executives und dem Leiter der Informationssicherheit ein guter Anfang. Der Verantwortliche sollte über Fragen der Cybersicherheit berichten. Gute Themen sind beispielsweise wie gut das Unternehmen seine bestehenden Technologien nutzt, um Bedrohungen abzuschwächen und wie das Unternehmen von weiteren Investitionen in die Informationssicherheit profitieren wird. IT-Teams können es sich nicht mehr leisten, sich zurückzuhalten. Sie müssen dem Top-Management erklären, warum Sicherheit für das Unternehmen wichtig ist, und sie beraten, wie das Unternehmen verbessert werden kann.

Mittlere Führungskräfte dürfen dabei nicht übersehen werden, weil sie direkt mit den Mitarbeitern zusammenarbeiten und ihnen zeigen können, wie sie sich sicherheitsorientiert verhalten sollen.

  • Erstens sollten besonders diese Führungskräfte mit gutem Beispiel vorangehen und nicht selbst gegen die Sicherheitspolitik verstoßen. Wenn ein Manager sensible Dateien auf einen USB-Stick kopiert und mit nach Hause nimmt, werden die Mitarbeiter ihr eigenes Verhalten weniger kritisch hinterfragen.
  • Zweitens sollten Manager die Initiative ergreifen, um die gewünschten Arbeitsabläufe zu erklären, wenn durch das Verhalten ihrer Mitarbeiter Sicherheitsrisiken für das Unternehmen entstehen. Sie müssen keine langjährigen Experten sein, um die grundlegenden Sicherheitsregeln zu erklären.

Die Autorität dieser Personengruppe an Bord zu haben und angemessen zu nutzen, ist von unschätzbarem Wert, um echte Veränderungen herbeizuführen. Die Erfahrung zeigt, dass sich der Einsatz des Managements für eine starke Sicherheitskultur im sicherheitsorientierten Verhalten der gesamten Unternehmenskultur widerspiegeln.

Tipp 2: Eindeutige Dokumentation der Sicherheitsrichtlinien

Sicherheitsrichtlinien sind ein Eckpfeiler der Sicherheitskultur, weil sie das Verhalten der Mitarbeiter bestimmen. Sie sollten mindestens zwei Dokumente anlegen. Die erste ist die offizielle Sicherheits-Policy. Diese wird von der IT-Abteilung erstellt und von allen Beteiligten unterzeichnet und legt Regeln und Verfahren fest, die jeder, der auf die IT-Systeme und Assets des Unternehmens zugreift, befolgen muss.

Das andere ist ein informelles Dokument von der HR-Abteilung, das die Vision des Unternehmens für ihre Cybersicherheit erläutert und aufzeigt, warum es für das Wachstum des Unternehmens und jedes einzelnen Mitarbeiters wichtig ist, die besten Sicherheitspraktiken zu befolgen. In diesem Dokument sollten auch die Folgen der Nichteinhaltung im Einzelnen dargelegt werden: Der Ruf des Mitarbeiters könnte dadurch beeinflusst werden und eine Kündigung oder sogar eine Klage gegen den Verantwortlichen sind mögliche Folgen. Dies kann entweder in einem separaten Dokument oder als Teil eines bestehenden Dokuments dargelegt werden wie in einem Mitarbeiterhandbuch.

Natürlich sollten die HR- und Personalverantwortlichen sicherstellen, dass neue Mitarbeiter die Sicherheitsrichtlinien bereits am ersten Tag lesen. Die Dokumente müssen ihm anschließend jederzeit zugänglich sein, um den Mitarbeitern die Möglichkeit zu geben, nachzuschlagen, wenn sie unsicher sind.

Tipp 3: Mitarbeiterschulungen

Cybersicherheitstraining klingen arbeitsintensiv, aber sie sind wirksam bei der Förderung einer Sicherheitskultur. Für den Netwrix IT Risks Report 2017 gaben 37 Prozent der Befragten an, dass eine unzureichende Schulung der Mitarbeiter eine der größten Herausforderungen bei der Umsetzung einer effizienteren IT-Risikostrategie sei.

Es stehen verschiedene Arten von Schulungen zur Verfügung, von traditionellen PowerPoint-Präsentationen des IT-Teams, bis hin zu moderneren Optionen. Beispielsweise gibt es Unternehmen, die von jedem Neueinsteiger verlangen, eine Videoschulung zu absolvieren und den Abschluss nachzuweisen, bevor er seine erste Aufgabe in diesem Unternehmen bekommt. Sie berichten, dass Mitarbeiter, die dieses Training durchlaufen, seltener Probleme haben, während jene Mitarbeiter, die vor Beginn des Programms eingestellt wurden, den Support oft bereits wegen der grundlegendsten Fragen anriefen.

Auch Rollenspiele kommen infrage, bei denen Mitarbeiter sicherheitsrelevante Vorfälle durchgehen und entscheiden, wie bestimmte Probleme im Einklang mit der Sicherheitspolitik zu lösen sind. Dabei sollten sich die Szenarien auf zwei oder drei der wichtigsten IT-Risiken zu konzentrieren, sei es Ransomware, Missbrauch von Zugangsprivilegien, der unsachgemäße Umgang mit sensibler Daten oder etwas anderes. Das nimmt einige Zeit in Anspruch, ist aber sehr effektiv, weil sie einen lebendigen, praxisnahen Rahmen für die Vermittlung von IT-Sicherheitskonzepten bietet.

Matt Middleton-Leal, Netwrix

„Das Engagement von oben nach unten bis hin zur Übernahme individueller Sicherheitsverantwortung führt zu einer starken Sicherheitskultur im gesamten Unternehmen.“

Matt Middleton-Leal, Netwrix

Die Inhalte jeder Schulung müssen auf die teilnehmenden Mitarbeiter zugeschnitten werden. Wichtige Rahmendaten dafür sind etwa die Abteilung und anderen Gruppen, zu denen der Mitarbeiter gehört, wie viel Verantwortung und Vorkenntnisse er hat, auf welche Daten er zugreifen kann und welche Tools er verwendet. Nur wer tatsächlich auf die Kundendaten zugreifen kann, muss im ersten Schritt im Umgang mit Kundendaten geschult werden. Als Inhalte bieten sich auch Beispiele von tatsächlichen Verstößen in ihrem Unternehmen an – natürlich ohne den Täter herabzuwürdigen oder seinen Namen zu nennen. Zu zeigen, dass die Cyberbedrohungen näher sind als man denkt, ist ein guter Weg, die Mitarbeiter dazu zu ermutigen, die Sicherheitsrichtlinien ernst zu nehmen.

Die Häufigkeit der Schulungen richtet sich nach den Bedürfnissen und der Lernkurve der Mitarbeiter. Häufig verlangen Unternehmen von ihren Mitarbeitern alle drei bis sechs Monate kurze Tests, um ihr Wissen aufzufrischen.

Tipp 4: Mitarbeiter zur Meldung von Vorfällen ermutigen

Ein Unternehmen ist wie eine Gemeinschaft, in der die Mitarbeiter zum Wohlstand beitragen können, indem sie Verantwortung übernehmen. Um die Sicherheitsverantwortung zu fördern, sollte das Management jeden Mitarbeiter dazu ermutigen, nicht nur vollwertige Vorfälle, sondern auch Verdachtsmomente zu melden.

Dazu muss es eine einfache Möglichkeit geben, wie ein einfacher, direkter Kontakt mit der IT-Abteilung. Das kann dabei helfen, Sicherheitsprobleme früher zu erkennen und schneller darauf zu reagieren. Die jeweiligen Mitarbeiter sollten für ihren Einsatz Anerkennung erfahren, beispielsweise durch ein Lob im Unternehmens-Newsletter oder bei Treffen. Dies zeigt allen, dass sie aufgefordert sind, dasselbe zu tun, denn Cybersicherheit ist wichtig für das Unternehmen.

Fazit

Der Aufbau einer starken Sicherheitskultur erfordert Arbeit, aber diese Arbeit ist gut investiert und notwendig. Viele Unternehmen arbeiten bereits daran, den kulturellen Wandel herbeizuführen, weil sie erkennen, dass sie die Informationssicherheit mit dem gleichen Maß an Engagement und Verantwortung angehen müssen wie finanzielle und andere Risiken. Das Engagement von oben nach unten bis hin zur Übernahme individueller Sicherheitsverantwortung führt zu einer starken Sicherheitskultur im gesamten Unternehmen, die eine entscheidende Verteidigungslinie aufbaut und die IT-Risiken reduziert.

Über den Autor:
Matt Middleton-Leal ist General Manager EMEA bei Netwrix.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Tipps für Security-Awareness-Schulungen

Technologie alleine löst keine Sicherheitsprobleme

Security Awareness entlang der Kill Chain

Erfahren Sie mehr über IT-Sicherheits-Management