22. Dezember 2024

Durchgängige Sicherheitskultur muss Top-Management einschließen

Mitarbeiter stellen eine potenzielle Schwachstelle für die IT-Sicherheit dar. Eine sicherheitsorientierte Unternehmenskultur soll die Antwort darauf sein, vielfach bleibt sie aber auf halbem Weg stehen. Wie der Aufbau einer solchen Kultur gelingen kann, erläutert NTT Security (Germany), das auf Sicherheit spezialisierte Unternehmen und „Security Center of Excellence“ der NTT Group. [...]

Die Sicherheits-Initiative muss bei den Führungskräften verankert sein und von diesen vorangebracht und auch vorgelebt werden. (c) philipimage - Fotolia

Bei der Realisierung einer höchstmöglichen Sicherheit müssen Unternehmen IT-Lösungen und Prozesse, aber auch den Faktor Mensch berücksichtigen. Diesen Punkt adressieren sie verstärkt und ergreifen umfassende Initiativen, die nicht primär auf Compliance-Konformität abzielen, sondern auf die Sensibilisierung von Mitarbeitern. Ziel ist die Schaffung einer sicherheitsorientierten Unternehmenskultur. „Prinzipiell sind solche Sicherheitsinitiativen zu begrüßen, allerdings zeigt die Erfahrung, dass sie vielfach nur von der IT initiiert werden“, erklärt Kai Grunwitz, Senior Vice President EMEA bei NTT Security. „Der richtige Ansatz wäre, sie zusätzlich im Management-Board zu verankern, das solche Initiativen sichtbar kommunizieren und vorantreiben sollte.“

Tatsächlich ist eine hohe IT-Sicherheit nur im Rahmen einer sicherheitsorientierten Kultur umsetzbar, die im gesamten Unternehmen verankert ist – auch und vor allem in der Führungsebene, denn gerade sie ist ein primäres Ziel von Hackerangriffen. Das Top-Management muss an vorderster Front von Sicherheitsinitiativen und dem Aufbau dieser Sicherheitskultur stehen. Welche Schritte dazu notwendig sind, erläutert NTT Security:

1. Zu Beginn erfolgt eine umfassende Bestandsaufnahme von Sicherheit und Sicherheitsbewusstsein im Unternehmen, unter Berücksichtigung von Prozessen, der eingesetzten Technologien und dem Faktor Mensch.
2. Darauf basierend entsteht eine Security-Awareness-Initiative, die sich nicht auf Compliance, sondern auf die Risiken für das Unternehmen und Vorteile für die Mitarbeiter fokussiert; Compliance entsteht dabei gewissermaßen nebenbei.
3. Im Rahmen dieser Initiative werden keine allgemeingültigen, sondern konkrete, sicherheitsrelevante Fälle aus dem Unternehmen vorgestellt. Damit können sich Mitarbeiter viel besser identifizieren.
4. Die Botschaften der Initiative müssen möglichst einfach sein und ständig wiederholt werden.
5. Die Initiative muss bei den Führungskräften verankert sein und von diesen vorangebracht und auch vorgelebt werden. Dafür müssen sie ganz besonders sensibilisiert werden, denn in der Praxis zeigt sich leider immer wieder, dass das Management sich von allgemeingültigen Regeln ausnimmt.
6. Der Aufbau einer sicherheitsorientierten Unternehmenskultur ist kein kurzfristiges Projekt – der Veränderungsprozess muss kontinuierlich und nachhaltig sein. Daher sollten Security-Initiativen kontinuierlich erweitert werden; Teilschritte sind einem Big Bang vorzuziehen, weil ein solcher allzu oft nach kurzer Zeit versandet.
7. Bewusstsein allein schafft noch keine Datensicherheit. Parallel dazu müssen Unternehmen natürlich auch entsprechende Budgets zur Implementierung der technischen IT-Sicherheit bereitstellen.
8. Sicherheitsbewusstsein benötigt regelmäßige Auffrischung. Positive Beispiele stärken zum Beispiel die Awareness der Mitarbeiter: so können etwa Angriffssimulationen anhand von konkreten Beispielen vorgestellt werden.

NTT Security unterstützt Unternehmen bei der Umsetzung einer Sicherheitskultur und gerade auch bei der Sensibilisierung der Führungsebene. Dafür hat der IT-Dienstleister ein spezielles Serviceangebot entwickelt, den sogenannten „Management Hack“. Unter Nutzung von Social-Engineering-Techniken wird dabei überprüft, inwieweit Führungskräfte ein Sicherheitsrisiko darstellen. Nach Abstimmung mit dem CISO oder IT-Leiter führt NTT Security simulierte, personalisierte Social-Engineering-Angriffe durch. Zum Einsatz kommen Techniken wie Phishing oder personalisiertes Spear-Phishing in Kombination mit Malware– oder Brute-Force-Angriffen auf Passwörter.

„Mit unserem neuen Serviceangebot kann die IT auch die Führungsebene schnell ins Boot holen und für das Thema Sicherheit sensibilisieren und gewinnen“, so Grunwitz, „und zwar nicht nur verbal, sondern mit realitätsnaher Dokumentation des Gefahrenpotenzials.“

Franz Pichler ist Gründer und Geschäftsführer von spusu. (c) spusu

spusu gewinnt 2024 150.000 Neukunden

20. Dezember 2024 pi/cb

Der Mobilfunkanbieter spusu hat 2024 mit einem Zuwachs von 150.000 Neukunden und einem Umsatzplus von 19,4 Prozent ein Rekordjahr hingelegt. […]

Damir Leko, Country General Manager bei Nexi in Österreich (c) Nexi Austria GmbH

E-Commerce in Österreich: Vielfalt beim Bezahlen als Schlüssel zum Erfolg

20. Dezember 2024 pi/cb

Der österreichische Online-Handel verzeichnet einen bemerkenswerten Aufschwung: Die digitalen Ausgaben stiegen 2023 auf über 14 Milliarden Euro. Flexible Zahlungsmethoden und innovative Technologien wie „Tap to Pay“ prägen die Einkaufswelt. […]

v.l.n.r.: Daniela Drakulic, Helene Baumgartner, Nadia Tor, Nicol Weghofer, Marcel Aberle, Tatjana Lulevic-Heyny (c) 42 Vienna

42 Vienna: Top-Experten und Epertinnen beim CorporateMeetsStudents Event

20. Dezember 2024 pi/kdl

Über 150 Teilnehmer und Teilnehmernnen aus Wirtschaft, IT und Bildung kamen zum CorporateMeetsStudents Event am Campus 42 Vienna zusammen. Im Mittelpunkt der Diskussionen stand die zentrale Rolle von Software-Kompetenz nicht nur für das Wirtschaftswachstum, sondern auch für die gesamtgesellschaftliche Entwicklung Österreichs. […]

Digital wie im echten Leben: Ballast abzuwerfen, Räume reinigen und entrümpeln, um sich auf das kommende Jahr vorzubereiten. (c) Pixabay

Aufgeräumt ins neue Jahr: Wie Sie Ihre digitalen Altlasten loswerden

20. Dezember 2024 pi/kdl

Nutzen Sie die die ruhigen Tage rund um den Jahreswechsel, um Ihre Daten zu ordnen, Platz für Neues zu schaffen und Ihren Arbeitsplatz klarer und nachhaltiger zu gestalten. Iphos IT hat folgende Tipps zusammengestellt, wie das digitale Ausfegen mit den richtigen Tools, Techniken und speziellen Enterprise-Search-Lösungen auf Knopfdruck gelingt. […]

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl

„Die Zukunft ist modular, flexibel und KI-gestützt“

20. Dezember 2024 Klaus Lorbeer

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

Richtlinien für sichere KI-Entwicklung

20. Dezember 2024

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

Soundspektakel dank diesen Audio-Geräten

20. Dezember 2024 Daniel Bader *

Kopfhörer, Lautsprecher und Soundbars sind die drei wichtigsten Audioklassen – alle mit ganz individuellen Besonderheiten. Dieser Audio-Guide zeigt, welches Gerät sich für wen lohnt und was es beim Kauf zu beachten gilt. […]

Kosteneffizienz in der Cloud: So vermeiden Unternehmen unnötige Ausgaben

20. Dezember 2024 Simon Müller *

Cloud Computing bietet unschlagbare Vorteile wie Skalierbarkeit und Flexibilität, bringt jedoch auch Herausforderungen mit sich. Vor allem die Kosteneffizienz in der Cloud wird für Unternehmen immer wichtiger, da die Ausgaben für Cloud-Dienste stetig steigen. […]

Datensilos blockieren Abwehrkräfte von generativer KI