Security: Eine Sache der Kultur

Von der Einstellung zu Security-Themen bis zum Bewusstsein, dass jeder einzelne Verantwortung trägt: Eine robuste Sicherheitskultur ist mehrdimensional, wie eine aktuelle Studie von KnowBe4 Research herausgearbeitet hat. Das Schlusslicht aller Branchen, der Bildungssektor, konnte von der Krise profitieren. Dem Sicherheitsverhalten wird nun mehr Aufmerksamkeit geschenkt. [...]

Die Krise und Home Schooling haben zu leichten Verbesserungen in Sachen Sicherheitskultur geführt. (c) Annie Spratt – Unsplash
Die Krise und Home Schooling haben zu leichten Verbesserungen in Sachen Sicherheitskultur geführt. (c) Annie Spratt – Unsplash

Der Bildungssektor hat durch die COVID-19-Pandemie eine besonders schwierige Zeit hinter sich, so der „Security Culture Report 2021“ von KnowBe4 Research, der vor kurzem veröffentlicht wurde. Zusätzlich zu den anhaltenden Herausforderungen hat der plötzliche Übergang der meisten Bildungseinrichtungen zu Online- oder hybriden Lehrumgebungen, eine Verschiebung der Tools und eine Betonung des Fernunterrichts „eine seismische Verschiebung in der Branche“ verursacht. Obwohl die meisten Institutionen mit Problemen im Zusammenhang mit der begrenzten Finanzierung konfrontiert sind, gebe es laut Studienautoren einen leichten Aufschwung. Dies sei auch höchste Zeit, da bei der letztjährigen Bewertung das Bildungswesen in jedem der von KnowBe4 Research durchgeführten Branchenvergleiche den letzten Platz belegte.

Was ist eine Sicherheitskultur?

KnowBe4 Research versteht unter Sicherheitskultur die Ideen, Gewohnheiten und sozialen Verhaltensweisen, die sich auf die Sicherheit einer Organisation auswirken. Bei der Informationssicherheitskultur betrachten die Forscher, wie die kulturellen Aspekte das Informationsmanagement beeinflussen. Bei der Cybersicherheitskultur liegt der Schwerpunkt auf dem Teil des Informationsmanagements, der Cybertechnologie zur Erstellung, Manipulation oder Speicherung von Informationen und Daten verwendet.

KnowBe4 Research bewertet die Kultur systematisch anhand von sieben Dimensionen:

  • Einstellungen: Die Gefühle und Überzeugungen, die Mitarbeiter gegenüber den Sicherheitsprotokollen und -themen haben.
  • Verhaltensweisen: Die Handlungen und Aktivitäten der Mitarbeiter, die direkten oder indirekten Einfluss auf die Sicherheit der Organisation haben.
  • Kognition: Das Verständnis, Wissen und Bewusstsein der Mitarbeiter in Bezug auf Sicherheitsthemen und -aktivitäten.
  • Kommunikation: Die Qualität der Kommunikationskanäle, um sicherheitsrelevante Themen zu besprechen, das Zusammengehörigkeitsgefühl zu fördern und Unterstützung bei Sicherheitsfragen und der Meldung von Vorfällen zu bieten.
  • Compliance: Die Kenntnis der schriftlichen Sicherheitsrichtlinien und das Ausmaß, in dem die Mitarbeiter diese befolgen.
  • Normen: Die Kenntnis von ungeschriebenen Verhaltensregeln in der Organisation und deren Befolgung.
  • Verantwortlichkeiten: Wie die Mitarbeiter ihre Rolle als kritischer Faktor bei der Aufrechterhaltung oder Gefährdung der Sicherheit der Organisation wahrnehmen.

Wie schnitt die Bildung ab?

Die gute Nachricht: Der Bildungsbereich zeigt eine Verbesserung in jeder Dimension. Die Dimensionen Einstellung, Kognition, Kommunikation, Normen und Verantwortlichkeiten haben sich um einen Punkt verbessert, während die Dimensionen Compliance und Verhalten um zwei bzw. drei Punkte gestiegen sind. „Dieses breite Spektrum an Verbesserungen kann auf den dramatischen Wandel der Arbeitskultur und der Normen zurückgeführt werden, der mit dem Wechsel zu Online- und hybriden Lernumgebungen einhergeht und die Branche insgesamt motiviert, dem Sicherheitsverhalten besondere Aufmerksamkeit zu schenken“, so die Studie.

Was machen Banken besser?

Mit mehr als 320.000 Mitarbeitern in 1.872 Organisationen weltweit hat der „Security Culture Report 2021“ die Stichprobengröße des letzten von 2020 mehr als verdoppelt. Die Ergebnisse der diesjährigen Studie zeigen eine große Kluft zwischen den Best-Performern – der Banken- und Finanzdienstleistungssektor – und den Unternehmen, die am schlechtesten abschnitten, wenn es um die Sicherheitskultur geht.

Aufgrund des hohen Werts von Finanzdaten – offensichtlich im Gegensatz zu den Bildungsdaten – ist der Bankensektor seit langem mit Risikomanagementkonzepten vertraut. In Verbindung mit staatlich vorgeschriebenen Cybersicherheits- und Mitarbeiterschulungsstandards wird die gesamte Risikomanagementstrategie der Branche vorangetrieben. Der Bankensektor unterhält zudem starke Kommunikationskanäle, die dazu dienen, die Mitarbeiter zu befähigen, und eine kontinuierliche Einhaltung der branchenspezifischen Richtlinien, die beide für die Sicherheitskultur unerlässlich sind.


Mehr Artikel

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*