Nicht wichtig weil "es eh nur die Großen" trifft, weil "man immer erst hinterher schlauer ist" und schon gar nicht weil es "nicht meine Baustelle" ist? Doch, denn IT-Sicherheit geht am besten wenn alle Bescheid wissen und alle mitmachen. Wirklich alle. Sophos gibt IT-Verantwortlichen eine Reihe von Ratschlägen, wie in Unternehmen das Thema Sicherheit zur Selbstverständlichkeit für wirklich alle Mitarbeiter werden kann. [...]
Die Sicherheitskultur ist einer von mehreren Faktoren, die für Unternehmen von unschätzbarem Nutzen sein können. Keine noch so hohe Anzahl von Richtlinien oder technischer Kontrolle kann Sicherheitsverletzungen verhindern, wenn Firmen die Mitarbeiter nicht an ihrer Seite haben. Denn implementieren die IT-Manager Kontrollen, ohne sich um die Aufmerksamkeit, das Verständnis und die Kooperation der Arbeitnehmer zu bemühen, erreichen sie womöglich genau das Gegenteil. Ohne Bewusstsein für die Gefahren und mit einem fehlenden gegenseitigen Verständnis weichen Mitarbeiter auf alternative Lösungen aus und nutzen z.B. private E-Mails und File-Sharing-Dienste – eine Schatten-IT entsteht. Für die IT-Verantwortlichen sind Risiken aus diesen Technologien ungleich schwerer zu quantifizieren und noch schwerer zu adressieren.
Aber wie gelingt es am Besten, die Mitarbeiter zu einer Zusammenarbeit mit der IT-Abteilung zu bewegen und im Unternehmen eine Kultur der digitalen Sicherheit zu fördern?
1. Stellen Sie einen Bezug zum täglichen Leben her und: Alle Mann an Bord!
Während in den Medien die Cyberangriffe auf Staatsebene für Schlagzeilen sorgen, besteht für Organisationen eher die Gefahr, von einer kriminellen Vereinigung aufs Korn genommen zu werden. Es gibt einige erschreckende Statistiken dazu, wie viel eine Datenpanne betroffene Unternehmen kosten kann. Beispiele mit Finanzbezug können helfen, beispielsweise das Führungsteam an Bord zu holen und dessen Bewusstsein für den Ernst der Lage zu schärfen.
Möchten Unternehmen jedoch die Arbeitnehmer für die Gefahren sensibilisieren, ist es sinnvoller, die konkreten Bedrohungen für die jeweiligen Rollen und Tätigkeitsbereiche verständlich zu erklären. So wird beispielsweise die Finanzabteilung eher Interesse an einer Geschichte über den Missbrauch einer CEO Position zeigen, als sich für die Themen der Systemadministratoren zu erwärmen. Alle Mitarbeiter individuell abzuholen dauert natürlich ein wenig länger, hat jedoch wesentlich mehr Aussicht auf Erfolg. Noch wirkungsvoller ist es, den CFO selbst, etwa im Rahmen eines Teammeetings, das Thema Datensicherheit ansprechen zu lassen.
2. Halten Sie das Thema lebendig und relevant
Obwohl die andauernden Nachrichten über geschädigte Unternehmen auch bisweilen ermüdend wirken können, so helfen sie doch dabei, das Thema aktuell zu halten. Es ist nur eine Frage der Zeit, bevor die nächste Story über Datenmissbrauch oder eine Datenpanne erscheint. Nehmen Sie jede Gelegenheit wahr, um mit den Schlüsselpersonen im Gespräch zu bleiben. Richten Sie Keyword Alerts im Zusammenhang mit Ihrer Branche oder Region ein. Podcasts sind eine weitere gute Möglichkeit, um mit den neuesten Ereignissen Schritt zu halten. Bei Sophos mögen wir risky.biz – und unseren eigenen Chet Chat natürlich.
3. Machen Sie Werbung, attraktive Werbung
Marketing ist kein Gebiet, auch dem Sicherheitsverantwortliche üblicherweise glänzen. Informationsmaterial, das einen IT-Spezialisten anspricht, unterscheidet sich ganz sicher von dem, das die restlichen Mitarbeiter interessiert. Bitten Sie die Marketing-Abteilung, Ihnen behilflich zu sein. Lassen Sie Plakate, Aufkleber, Stress-Bälle oder anderes Material produzieren, das die Aufmerksamkeit der Mitarbeiter längerfristig aufs Thema lenkt und bleiben Sie dran. Einige Unternehmen setzen bereits spezielle Awareness-Programme ein, um auf Themen der Informationssicherheit hinzuweisen. Der Aufwand lohnt sich.
Be the first to comment