Cyber Security als wichtiger Bestandteil der Unternehmenskultur
Phishing-Versuche hier, DDoS-Attacken da – wer sich im World Wide Web bewegt, sieht sich rein theoretisch hunderten (wenn nicht sogar tausenden) Gefahren ausgesetzt. Grundsätzlich ist es dabei egal, ob der Nutzer von einem privaten Gerät auf das Internet zugreift oder vor dem Rechner im Büro sitzt – Bedrohung bleibt Bedrohung. Gerade im Unternehmenskontext können tiefgreifende Probleme warten.
Cyber-Security-Studie offenbart die Probleme
Der Cybersecurity Culture Report 2018 der ISACA und des CMMI Institute verdeutlicht, dass Cyber-Security-Maßnahmen zwar in einem Großteil der Unternehmen schon Einzug erhalten haben, aber längst noch nicht im gewünschten Ausmaß. Von den 4.815 befragten Experten gaben lediglich 5 % an, ihr Unternehmen lebe bereits eine zufriedenstellende Cyber-Security-Kultur, die restlichen 95 % sehen hingegen noch einiges Verbesserungspotenzial. Dabei sind sich neun von zehn Studienteilnehmer sicher, dass mehr Bemühungen im Bereich Cyber Security auch zu mehr Profitabilität und Lebensfähigkeit führen würden. In vielen Fällen – genauer gesagt bei 42 % der Unternehmen – mangelt es an einem durchdachten Konzept. Das fällt auch zunehmend den Mitarbeitern auf: 19 % beklagen, ihr Unternehmen hätte keine oder nur geringe Ahnung, wie die geforderte Cyber-Security-Kultur Realität werden könnte.
Aber wer zeichnet sich für das Vorantreiben der Cyber Security im Unternehmen überhaupt zuständig? Laut den meisten Befragten entweder der CISO (60 %) oder der CIO (47 %). Die ISACA und das CMMI Institute vertreten diese Meinung in ihrem Report allerdings nicht: Sie empfehlen Unternehmen vielmehr, ein Cyber-Security-Team zusammenzustellen, dass die Fähigkeiten und Kenntnisse der Fachkräfte aus den Bereichen Geschäftsleitung, Informationssicherheit, IT, Personal, Recht sowie Marketing kombiniert.
Cyber Security fängt beim Einzelnen an
Gut – hätten wir also geklärt, wem die Verantwortung im Bereich Cyber Security aus Expertensicht übertragen werden sollte. Aber was ist eigentlich mit denen, die die Cyber-Security-Kultur im Berufsalltag leben sollen, also der restlichen Belegschaft? Wie gelingt es, Cyber Security in den Köpfen aller Mitarbeiter – das heißt vom Praktikanten bis hin zum Geschäftsführer – gleichermaßen zu verankern? Der vermutlich einfachste Weg in die Systeme eines Unternehmens führt für Cyberkriminelle schließlich immer noch über die Beschäftigten.
Laut Cybersecurity Culture Report will ein Großteil der Unternehmen sofort damit anfangen, mittels Mitarbeiterschulungen (80 %) oder Verhaltensrichtlinien (79 %) Fortschritte in puncto Cyber Security zu machen. Leichter gesagt als getan: In der Praxis kann die Umsetzung dieser Maßnahmen zur anspruchsvollen Herausforderung werden. In einem Artikel in der Harvard Business Review nennt Maarten Van Horenbeeck die Gründe hierfür:
Richtlinien sind häufig zu komplex
Die oftmals mit Aufwand verbundenen Regeln verleiten nicht wenige Mitarbeiter dazu, Cyber Security nicht ganz ernst zu nehmen. Als Beispiel führt Van Horenbeeck das regelmäßige Ändern von Passwörtern, das in vielen Unternehmen vorgeschrieben wird, an. Zwar passen die Beschäftigten ihre Passwörter an, dabei wird aber gerne nur der erste Buchstabe großgeschrieben oder eine Zahl hinzugefügt. Werden längere bzw. komplexere Passwörter verlangt, ignorieren mehr und mehr Mitarbeiter die Vorgabe oder wählen Passwörter, die nur schwer zu merken sind und notieren diese für jeden einsehbar am Arbeitsplatz. Cyber Security sieht definitiv anders aus.
Um diesen Problemen professionell vorzubeugen, sollten Unternehmen auf die mittlerweile veralteten Vorschriften verzichten und vermehrt auf Lösungen wie Passwort-Manager oder Zwei-Faktor-Authentisierung zurückgreifen.
Schulungen überfordern viele Mitarbeiter
Im Prinzip sind Schulungen eine tolle Sache. Das Problem: Oft sind für die Unterweisungen mehrere Arbeitstage angesetzt, an denen die gesamte Belegschaft mit unzähligen Informationen nahezu bombardiert wird. Wen verwundert es da noch, wenn die Mitarbeiter nach einiger Zeit abschweifen? Klar, für die Verantwortlichen ist es am effizientesten, die Schulung in einem Schwung durchzuführen, der gewünschte Erfolg leidet jedoch deutlich darunter.
Besser wäre es stattdessen, den Beschäftigten individuelle Schulungen anzubieten, die auf ihre persönlichen Anforderungen und Kenntnisse im Bereich Cyber Security abgestimmt sind.
Unbeliebtheit der IT-Verantwortlichen
Leider genießt die IT-Abteilung vielerorts heute einen schlechten Ruf – völlig zu unrecht natürlich. Viele Mitarbeiter verbinden die IT überwiegend mit negativen Aspekten wie langen Wartezeiten oder Überwachung. Die Unternehmen stehen daher in der Pflicht, die Beziehung zwischen IT und der restlichen Belegschaft zu stärken. Nur so kann Cyber Security auch in den Köpfen der Mitarbeiter ankommen. Stellt sich nur noch die Frage: Wie?
Van Horenbeeck plädiert in seinem Artikel beispielsweise für eine “Kultur der Offenheit” in Unternehmen. Um diese zu erreichen, wäre seiner Meinung nach unter anderem die Einführung von IT-Sprechstunden, also regelmäßigen Zeitfenstern, in denen die Beschäftigten ihre Anliegen gegenüber der IT äußern können, sinnvoll.
Mehr und mehr Unternehmen erkennen glücklicherweise, wie wichtig Cyber Security in unserer heutigen Zeit ist und machen das Thema mit Maßnahmen wie Verhaltensrichtlinien oder Mitarbeiterschulungen zum festen Bestandteil ihrer Unternehmenskultur. Damit diese Schritte aber auch wirklich von Erfolg gekrönt sind, bedarf es nicht nur eines durchdachten Konzepts, es muss auch alles in die Wege geleitet werden, dass die Mitarbeiter dieses im gewünschten Maße umsetzen.