„Bitte aktualisieren Sie Ihr Passwort.“ Wenn sie diese Mitteilung lesen, begnügen sich 49 % der Mitarbeiter damit, das alte Passwort leicht zu verändern. Dies ergibt eine HYPR-Studie aus dem Jahr 2019. So wird aus „P@$$w0rt2019“ zum Beispiel „P@$$w0rt2020“, ohne dass bei dieser Gelegenheit die Sicherheit des IT-Systems gestärkt worden wäre. Doch muss man daraus gleich schließen, dass alle Präventionsmaßnahmen vergeblich sind?
Die Cybersicherheit eines Unternehmens geht alle etwas an! Im Alltag ist man jedoch oft der Meinung, dass vor allem die anderen nachlässig sind. Über die technischen Instrumente hinaus sind aber die Aspekte der Sensibilisierung und der Schulung der Mitarbeiter ganz wesentlich. Und um alle Mitarbeiter mitzunehmen, können noch so viele Charten, Verhaltensregeln und andere Leitfäden zur digitalen Hygiene nicht genügen, wenn sie nicht in einem größeren und motivierenden Rahmen gesehen werden. Aber gibt es ein Patentrezept für eine gute Cyberkultur?
Sensibilisierung ist noch nicht überall zum Reflex geworden
In der letzten Studie von Stormshield/L’Usine Digitale ist die Sensibilisierung für die guten Praktiken der am häufigsten genannte Hebel zur Bewältigung der Herausforderungen der Cybersicherheit, doch ihre Umsetzung hinkt dem hinterher: In der Tat investieren 28 % der Befragten nicht oder nur unregelmäßig in die Sensibilisierung der Mitarbeiter.
50 years later and we still put usernames and passwords on sticky notes attached to our computers https://t.co/g1YH0bHpdS
— Joe Carrano (@joecar25) October 30, 2019
Digitale Hygiene: Sollte man Post-its bei der Arbeit verbieten?
Franck Gicquel, Verantwortlicher für Partnerschaften bei Cybermalveillance.gouv.fr bestätigt diese Diskrepanz: „Die Lage ist zwangsläufig eine ganz andere für eine große Unternehmensgruppe oder ein Kleinstunternehmen, das einen Dienstleister mit der Verwaltung seines IT-Systems beauftragt hat. Ein solcher Dienstleister ist nicht immer in der besten Position, um zur Sensibilisierung aufzufordern.“
Ein positives Signal aus der Studie ist dagegen die Feststellung, dass die Dimension Sicherheit immer häufiger Bestandteil der Schulungen zu den neuen Instrumenten der digitalen Transformation ist (bei 48 % der Schulungen, somit ein Anstieg um 9 Punkte gegenüber dem Vorjahres-Barometer).
Vorbild oder Sanktion, das Topmanagement sucht nach seiner Rolle
Die Rolle der Geschäftsführung erweist sich als wesentlich, denn sie hat nicht nur Vorbildfunktion, sondern sie ist die einzige Instanz, die das Thema der Sensibilisierung als vorrangig definieren und die notwendigen Mittel dafür bereitstellen kann.
Nun ist das Topmanagement aber nicht immer ausreichend informiert, um diese Fragen zu entscheiden. Deshalb ist es laut Gérard Leymarie, CISO der Elior-Gruppe, unerlässlich, dass die IT-Leiter ihre Einstellung ändern: „Wir müssen den ‚old school‘-Modus’ und unsere Komfortzone verlassen und proaktiv vorgehen, indem wir die Geschäftsleitung überzeugen.“ Laut Franck Gicquel kann man „die Überbringer einer Botschaft multiplizieren und ihre Chancen, verstanden und aufgenommen zu werden, erhöhen“, indem man die Manager zu Botschaftern für Cybersicherheit macht.
Wir müssen den ‚old school‘-Modus’ und unsere Komfortzone verlassen und proaktiv vorgehen, indem wir die Geschäftsleitung überzeugen.
Gérard Leymarie, CISO der Elior-Gruppe
Ferner erwartet man vom Topmanagement, dass es Position bezieht zu eventuellen Sanktionen bei schlechter digitaler Hygiene. Mit der DSGVO zeichnen sich Ansätze für Sanktionen von Dritten und gesetzliche Sanktionen ab. Doch abgesehen von spektakulären Fällen von schlechten Praktiken von Geschäftsführern sind sich die Experten einig darin, allzu dirigistische Haltungen abzulehnen, die als Angst auslösend und langfristig wenig effizient beurteilt werden.
„Wenn wir im Rahmen von Zwang und Bestrafung bleiben, betrachten wir die Mitarbeiter weiterhin als ein schwaches Glied in der Sicherheitskette. Der Sinn der Sensibilisierung besteht aber gerade darin, sie zu einem starken Glied zu machen“, betont Franck Gicquel.
Jedes Schulungsbudget ist sinnlos, wenn man Theorie ohne Praxis lehrt
Um dieses Ergebnis zu erreichen, sollten jährliche PowerPoint-Präsentationen und „Cyberwashing“ verbannt werden. Das Ziel lautet, die guten Praktiken der Cybersicherheit auf positive Weise in den Alltag zu integrieren. Hier sind einige Empfehlungen, wie dies gelingen kann.
Schranken abbauen
„Wiederholen, ohne auf die Nerven zu gehen“, lautet das Ziel nach Franck Gicquel. Dafür empfiehlt es sich, die Botschaften zur Sensibilisierung von der IT-Abteilung, aber auch von anderen Funktionen innerhalb des Unternehmens (Geschäftsfelder, Personal und andere) auszusenden. Das Barometer Stormshield/L’Usine Digitale 2019 ergab zum Beispiel, dass durchschnittlich drei verschiedene Akteure ein Digitalprojekt innerhalb eines Unternehmens anstoßen. Eine Verteilung der Sensibilisierungsbemühungen auf mehrere Funktionen scheint somit realistisch zu sein. „Dies beweist, dass es ein Thema ist, das alle etwas angeht, und erlaubt es, die Art und Weise, die Ansätze, die Beispiele zu variieren, um eine echte Cyberkultur aufzubauen.“
Verbindungsstellen schaffen
Und um die Mitarbeiter möglichst direkt einzubeziehen, sollte man Ansprechpartner innerhalb der operativen Teams identifizieren. In jeder Abteilung oder im Team könnten diese Ansprechpartner für Sicherheitsfragen die Rolle eines Moderators (und nicht eines Experten) einnehmen, um sicherzustellen, dass die Botschaften und Anweisungen zur Cybersicherheit allen Mitarbeitern bekannt sind und richtig verstanden wurden.
Sich an die Zielgruppe anpassen
Um die Mitarbeiter eines großen Unternehmens, eines Klein- oder Mittelunternehmens oder auch einer Schule für dieses Thema zu interessieren, sollte man sich auf präzise Beispiele aus dem Bereich stützen oder die Herausforderungen mit denjenigen vergleichen, vor denen man auch persönlich steht.
Eine überraschende Kampagne zu den Cyberrisiken von EPITA
Entdramatisieren
Die sogenannte Technik des „Croissantage“ oder „chocoBLAST“ veranschaulicht diese Philosophie: Von einem unbeaufsichtigten PC verschickt ein aufmerksamer und wohlwollender Kollege eine E-Mail an alle, um ihnen mitzuteilen, dass der PC-Besitzer am nächsten Morgen Croissants zum Frühstück mitbringen wird!!! Dies ist ein einfaches und schnelles Mittel, um in einem Unternehmen Grundkenntnisse in digitaler Hygiene einzuführen.
Die Wirksamkeit der Sensibilisierung messen
Schließlich ist es wichtig, zu überprüfen, was die sensibilisierten Mitarbeiter tatsächlich verstanden haben. Im Falle von Elior und seiner Hacking Diner-Aktion (siehe unten) sind die ausgewählten Indikatoren die Statistiken zur Konsultierung der betreffenden Website, die Meldequote von Sicherheitsinformationen (die sich in weniger als einem Jahr vervierfacht hat) sowie die Erfolgsrate bei den vom Unternehmen erlittenen Angriffen.
Methodenwechsel bei Elior mit dem „Hacking Diner“
Der französische Marktführer für Gemeinschaftsverpflegung führte Ende 2018 unter seinen 110.000 Mitarbeitern eine Kampagne zur Sensibilisierung für die Cybersicherheit durch: das „Hacking Diner“.
Sie umfasste einen Film sowie eine spezielle Website, die auf der Grundlage des Sensibilisierungssets von Cybermalveillance.gouv.fr eingerichtet wurde. Gérard Leymarie erklärt sich sehr zufrieden: „Mit weniger als 50.000 Euro gelang es uns, das Sensibilisierungsniveau im Unternehmen signifikant zu erhöhen.“ „Das verdanken wir der Vielfalt der verwendeten Formate und der Mitwirkung der Generaldirektion und des Gesamtverantwortlichen für Informationssicherheit (CISO)“, kommentiert Franck Gicquel. Diese Kampagne wurde langfristig angelegt: Die Website hackingdiner.eliorgroup.net wird regelmäßig durch neue Module ergänzt. „Anstatt einer punktuellen Aktion haben wir es vorgezogen, den Menschen Zeit zu lassen, sich die richtigen Reflexe im Rahmen einer längerfristig angelegten Episoden-Kampagne anzueignen“, erklärt Gérard Leymarie.
Sollte dies (endlich) der Schlüssel für eine erfolgreiche Sensibilisierung sein? Ein Vorgehen, das von einer kommunizierenden IT-Abteilung angestoßen und außerhalb der IT-Abteilung von allen Abteilungen des Unternehmens getragen wird, veranschaulicht durch Praktiken, die für einen Bereich typisch sind oder aus dem persönlichen Alltag entlehnt sind…
Zudem stellten diese Sensibilisierungsmaßnahmen eine echte Schulung dar. Jeder Mitarbeiter trägt somit zu einer besseren Cybersicherheit des Unternehmens bei.