Die Mitarbeiter ins Cybersicherheitsboot nehmen

Sechs Wege, im eigenen Unternehmen von IT-Sicherheit zu überzeugen. [...]

Foto: Jörg von der Heydt, Regional Director DACH bei Bitdefender. (Quelle: Bitdefender)

IT-Administratoren und den CISO – sofern vorhanden – muss man nicht vom Wert der IT-Sicherheit überzeugen. Eine effektive IT-Sicherheit hängt aber auch von den Beiträgen der einzelnen Abteilungen und Mitarbeiter ab. Um diese von Risiken, Gefahren und Möglichkeiten zur Abwehr von Cybergefahren zu überzeugen, gibt es verschiedene Wege jenseits der notwendigen Sicherheitstechnologien. 

Cybersicherheits-Technologien sind nicht alles: Mit Ihnen allein lässt sich ein hohes, aber kein umfassendes Maß an Sicherheit erzielen. Sie wehren eine Unmenge von automatisiert durchgeführten Attacken schon im Vorfeld ab, ohne dass die Opfer sie überhaupt bemerken.

Dazu gehört zum Beispiel die automatische Phishing Mail mit einer bekannten Malware-Signatur: Ohne eine klassische Antivirus-Technologie kann sie zur Keimzelle einer Ransomware-Attacke werden.

Die Urheber gefährlicher Attacken, wie etwa Advanced Persistent Threats (APT), gehen aber einen anderen Weg. Sie nutzen den Stress und die Hektik im Berufsalltag aus und verleiten Anwender dazu, folgenschwere Fehler zu begehen.

Ein Schutz dagegen hängt in diesen Bereichen immer noch vom Verhalten der Mitarbeiter ab, deren Fehler zu Sicherheitsvorfällen führen können. Wer sich gegen die Schwachstelle Mensch schützen will, muss zum einem die Mitarbeiter schulen.

Der belehrende Zeigefinger reicht aber nicht aus. IT-Sicherheitsteams müssen Mitarbeiter auf ihre Seite ziehen. Das hat nicht unbedingt etwas mit Fachwissen oder Technik zu tun. Hier handelt es sich um Sensibilisierungs- und Überzeugungsarbeit, letztlich um eine Kommunikationsaufgabe.

Die folgenden sechs Wege können IT-Sicherheit zur Sache aller Beschäftigten zu machen:

1. Miteinander reden

Wer überzeugen will, muss das Gespräch suchen. Das ergibt sich schon allein aus der Tatsache, dass in vielen Unternehmen die IT nur dann eine wirklich entscheidende Rolle spielt, wenn sie zur Produktivität beiträgt. Geht es nur um Sicherheit, Computer oder Infrastruktur, spielt sie schnell die Rolle eines technischen Dienstleisters, dem zu lange niemand zuhört.

Phishing-Simulationen oder -Trainings bleiben so oft nur ein lästiges Übel. Ein IT-Administrator muss daher Verbündete suchen und auf seine Seite ziehen.

Geschäftsführer sind da nur eine erste, obgleich eine wichtige Adresse: Die Führungskräfte in einer Abteilung spielen als direkte Vorgesetzte ihrer Mitarbeiter eine wichtige Rolle. Nicht abwegig, sondern effizient ist es zudem, gerade solche Mitarbeiter zu überzeugen, die im Unternehmen Einfluss und Autorität haben. Jeden Ansprechpartner wird man verschieden nehmen müssen.

2. Die Risiken ansprechen, die dem Einzelnen schaden können

Wer Sicherheitsbewusstsein schaffen will, muss die Folgen von Angriffen ansprechen, die dem Individuum direkt schaden. Einem Geschäftsführer sollte eigentlich der Verweis auf Ausfälle von Systemen und damit der Produktion als Argument für mehr Sicherheit genügen.

Vielleicht bedarf es aber mittlerweile weiterer Argumente wie etwa eine mögliche persönliche Haftbarkeit eines Unternehmenschefs. Ransomware ist für viele eine abstrakte Gefahr, die so manch einer für sich selbst nicht in Betracht zieht.

Augenscheinlicher ist es, sich vorzustellen, was es heißt, dass man seine Arbeit einfach nicht leisten, geschweige denn überhaupt anfangen kann. Einen Chief Financial Officer überzeugen dagegen eher die Implikationen und Kosten eines Sicherheitsvorfalls.

Ein Anstoß für Legal, Marketing, HR und Finance können verhängte Bußgelder aus dem Verstoß gegen DSGVO-Vorschriften sein. Den Mitarbeiter im Remote-Office überzeugt man von den Gefahren, die sich aus der Gemengelage privater und beruflicher IT im Home-Office ergeben – für das Unternehmen und für Ihn selbst.

3. Verantwortung teilen

Alle müssen gemeinsam an der IT-Sicherheit arbeiten. Insofern ist es nur ein logischer Schritt, die Pflichten für Sicherheit auf alle Abteilungen zu verteilen. Es mag zwar altmodisch klingen, aber die hierzu notwendige Kommunikation erfolgt am besten Top-Down. Denn dies steigert die Wahrscheinlichkeit, dass sich die jeweiligen unterstellten Mitarbeiter an die neuen Vorgaben halten.

Am besten zeigen die IT-Zuständigen, wie menschliches Handeln die Sicherheit gefährdet und liefern konkrete Vorgaben, um dies zu verhindern: Etwa, um zu vermeiden, dass sie unternehmenskritische Daten oder bestimmte Assets offenlegen.

4. Sicheres Verhalten verstärken statt Fehler bestrafen

Absolute IT-Sicherheit kann es nicht geben. Wenn durch einen Anwenderfehler Gefahren entstehen, gehen IT-Sicherheitsteams einem Vorfall am besten, ohne zu drohen und ohne Vorwürfe nach. Mitarbeiter, die sich schämen, aus Angst vor Maßnahmen nicht die ganze Wahrheit sagen oder sogar den eigentlichen Vorgang vertuschen, können die Abwehr, das Eindämmen des Schadens und die Analyse verhindern. Sie werden ihr Verhalten nicht unbedingt ändern.

Anreize für sicheres Verhalten zu schaffen, ist auch auf Abteilungsebene eine wichtige Aufgabe. Mitarbeiter sind Menschen und sie reagieren daher auf Anreize. Wer den Schutz zum Beispiel digitaler Identitäten fördern will, kommt mit einem Identity Access Management einen wichtigen Schritt weiter.

5. Anwenderorientierte Sicherheit

Jeder IT-Administrator passt seine IT-Abwehr an die ständig wechselnde Bedrohungslandschaft an. Aber ebenso wichtig ist es, dass die Abwehrlandschaft die Unternehmenskultur, die Arbeitsweise und damit auch die daraus entstehende besondere Gefahrenlage der Mitarbeiter berücksichtigt.

In der Folge weisen die Verantwortlichen für Cybersicherheit auf die besonderen Risiken etwa von Remote Work hin und suchen nach Hilfsmitteln, die Mitarbeiter gerne akzeptieren. Diese suchen nach Tools, die einfach sind und sich leicht bedienen lassen, die aber die Angestellten nicht überwachen: Sicherheit im Remote Office lässt sich durch Mobile Device Management oder durch Software zum Überwachen von Mitarbeitern durchsetzen.

Doch letzteres akzeptieren viele Angestellte nicht mehr, die damit ihre Work-Life-Balance gefährdet sehen. In Zeiten von Fachkräftemangel verliert ein solches Unternehmen vielleicht gerade die fähigen Mitarbeiter, die sich einen anderen Arbeitgeber suchen können.

6. Akzeptierte Technologien statt Schatten-IT

Besser ist es, Mitarbeiter darin auszubilden, wie sie Remote Office oder Home Office absichern können, anstatt sie zu gängeln. Gerade bei kleinen und mittleren Unternehmen, die nicht unbedingt Technologie-affin sind, besteht noch Nachholbedarf.

Ein vom Unternehmen selbst beschaffter Passwort-Manager – und nicht einfach nur der von Google, der vielleicht noch beunruhigenderweise mit dem privaten Account verknüpft ist – oder ein eigenes professionelles VPN sprechen für das Unternehmen und schaffen zudem zusätzliche, kontrollierte und akzeptierte Sicherheit.

Das verhindert das Entstehen von blinden Flecken durch eine Schatten-IT – etwa, wenn ein Anwender unterwegs schlechte Erfahrungen mit der Kapazität der herkömmlichen Office-Kommunikationsmittel macht und seine private Dropbox für geschäftliche Inhalte nutzt.

Von Sicherheit überzeugen

Jede Cyberabwehr steht und fällt mit der Kollaboration der Mitarbeiter. Diese für sich zu gewinnen, ist ein entscheidender Faktor.

IT-Technologie schützt gegen Angriffe – aber ebenso gesunder Menschenverstand gerade in den entscheidenden Situationen einer Spear-Phishing-Mail.

Wer den Faktor Mensch vom Wert der Sicherheit überzeugt, beseitigt Risiken, beschleunigt die Abwehr und verbessert die Analyse von Sicherheitsvorfällen.


Mehr Artikel

News

Agenda Europe 2035: für eine sichere und wettbewerbsfähige Zukunft in der EU

Das effiziente Zusammenspiel zwischen Europas Wirtschaft und der Öffentlichen Hand ist gerade in unseren bewegten Zeiten unerlässlich. Viele IKT-Entscheider beider Sektoren sehen sich mit einer Vielzahl von Herausforderungen konfrontiert, die es zu bewältigen gilt. Doch was können die Digitalisierung und Informations- und Kommunikationstechnologie (IKT) zur Bewältigung dieser Herausforderungen beitragen? […]

News

Digitale Transformation für viele Unternehmen noch immer zweitrangig

Wie eine aktuelle Deloitte-Studie unter 300 Führungskräften zeigt, lässt eine umfassende Digitalisierung der österreichischen Wirtschaft noch immer auf sich warten. Während einige Vorreiter die Teuerungen und gestiegenen Kosten zum Anlass nehmen, die Digitalisierung noch stärker voranzutreiben, setzt ein Drittel der Unternehmen momentan gar keine Transformationsprojekte in diesem Bereich um. […]

News

Das Pingpong von PIM und PAM

Nicht selten werden die Aufgaben und Ziele der beiden Prinzipien Privileged Identity Management (PIM) und Privileged Access Management (PAM) für die sichere Identifikationen und deren Verwaltung vermischt. Dabei ist es für Unternehmen wichtig zu wissen, was sie mit welchen Lösungen tatsächlich erreichen können. […]

v.l. Jasmin Öztürk, Bianca Edenhofer, Doris Pokorny, Gentics Software (c) Melzer PR/Kührer
Karriere

Mehr Frauenpower bei Gentics Software

Mit Doris Pokorny in der Geschäftsführung sowie Denise Schindelböck als Prokuristin konnte die Gentics Software GmbH schon bisher mit einer Frauenquote von 66,6 Prozent im Führungsteam aufwarten. Per Oktober bzw. November 2024 wurde den beiden 32-jährigen Managerinnen Jasmin Öztürk und Bianca Edenhofer ebenfalls die Prokura verliehen und die Frauenquote damit noch einmal erhöht. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*