Abgesehen von den unerlässlichen Schutzinstrumenten kann der Schlüssel zu erfolgreicher Cyber-Sicherheit mit einem Wort zusammengefasst werden: der Mensch. Die Sensibilisierung und Schulung der Unternehmensteams in Bezug auf IT-Risiken beschränkt sich jedoch nicht auf die Anwendung einiger elementarer Regeln. Intern muss auch eine echte „Cyber-Sicherheitspolitik“ eingerichtet werden.
Laut der von Deloitte durchgeführten Studie „Cyber-Probleme 2018“ sind 63 % der Sicherheitsvorfälle bei Unternehmen auf einen der Mitarbeiter zurückzuführen. Wie das ISACA und das Institut CMMI in „The 2018 cybersecurity culture report“ feststellen, gründen zahlreiche Unternehmen ihre Cyber-Sicherheit auf Technologie, investieren aber zu wenig in die Mitarbeiter, die ihre erste Verteidigungslinie darstellen sollten.
Die unerlässliche kulturelle Sensibilisierung der Mitarbeiter für Cyber-Sicherheitsprobleme
Cyberkriminelle haben ein hervorragendes Gespür für die schwächsten Glieder in Unternehmen und nutzen insbesondere persönliche Daten, die öffentlich in sozialen Netzwerken gepostet werden. Die Interessen eines Mitarbeiters, das Geburtsdatum seiner Kinder oder auch der Spitzname seines Hundes sind Elemente für gezielte Phishing-Mails oder Hinweise, mit denen Passwörter geknackt werden können.
„Im Hinblick auf die Cyber-Sicherheit ist tatsächlich der Mensch der wichtigste Schwachpunkt, ganz gleich ob unbeabsichtigt (Fehler, Weisungen nicht eingehalten oder vergessen...), durch kompromittierte Daten (unwissentlicher Vektor bösartigen Eindringens) oder absichtlich (absichtliche Vorgehensweise, um aus unterschiedlichen Gründen zu schaden...)“ unterstreicht Franck Nielacny, der Chief Information Officer von Stormshield.
Insbesondere die Verletzung von Daten stellt ein zunehmendes Risiko dar. „Alle Unternehmen und alle Mitarbeiter können Bedrohungen ausgesetzt werden. Das gilt für Massenangriffe wie im Falle der Ransomware WannaCry in 2017, aber auch ungewollte Bedrohungen durch immer gezieltere Angriffe“, warnt Stéphane Prévost, der Product Marketing Manager bei Stormshield.
Cybersicherheit im Unternehmen geht alle an
Wenn man erst einmal zu der Überzeugung gelangt ist, dass der Mensch im Mittelpunkt der Cyber-Sicherheitspolitik des Unternehmens stehen muss, muss auch jeder Einzelne davon überzeugt werden, dass diese jeden betrifft. Um eine Cyber-Sicherheitskultur, die von allen im Unternehmen mitgetragen wird, unter optimalen Bedingungen einzuführen, muss man sich infolge Franck Nielacny auf 5 zentrale Akteure stützen: „Die Unternehmensleitung, Vertreter der Mitarbeiter, die Personalabteilung, den Verantwortlichen für die Sicherheit der IT-Systeme und schließlich die Leitung der IT-Dienste“.
Eine derartige Vorgehensweise ist aus mehreren (guten) Gründen nicht einfach. Der erste Grund ist, dass diese neuen Sicherheitsverfahren von den Mitarbeitern im Allgemeinen als zusätzliche Auflage empfunden werden. Gleichzeitig begünstigt der Silobetrieb in zahlreichen Unternehmen nach wie vor keine derartige Teamarbeit, denn mit minimalistischer Zusammenarbeit kann man keine gemeinsame Kultur wirksam einführen. So scheint es schwierig zu sein, in Echtzeit konkrete Rückmeldungen über Verletzlichkeiten des Unternehmens zu sammeln und zu ermitteln, wie diese schnell gelöst werden können.
Diese Cyber-Sicherheitskultur sollte noch mehr Gewicht auf die Integration des Sicherheitsaspektes im Vorfeld, bei der Entwicklung der Business-Software legen. Das ist eines der besten Mittel zur Sensibilisierung aller Unternehmensabteilungen für das Management sensibler Daten! Mit der DSGVO ist „Security by Design“ sogar zur Norm geworden, um zu verhindern, dass die Software nicht selbst zum schwächsten Glied der Sicherheit wird. Aber oft ist es der Mangel an qualifizierten internen Teams, der diese Umsetzung einer wiederkehrenden Informationspolitik zu IT-Risiken behindert.
Die Entstehung einer Cyber-Sicherheitskultur kann jedoch ebenfalls durch eine zu stark top-down orientierte Einführung beeinträchtigt werden. Die Akzeptanz seitens der Mitarbeiter setzt ein starkes Engagement der Leitung, aber auch des Middle Management voraus, was bedeutet, dass der Endbenutzer und sein Bedarf stets im Vordergrund stehen müssen. Die wirksamste Cyber-Sicherheit wird durch die tägliche Nutzung erreicht. Eine der Maßnahmen kultureller Sensibilisierung bei Stormshield erfolgt in Form einer „Kleingebäck-Strafe“: wenn ein Mitarbeiter seinen PC verlässt, ohne ihn auf Standby zu schalten, wird sein E-Mail-Postfach „gehackt“ und er muss den Teams eine Runde Croissants ausgeben. Das ist unglaublich wirksam.
Für die Branchen angemessene Schutzlösungen anbieten
Ein derartiges Umfeld ist jedoch nicht in allen Unternehmen gegeben und für viele ist Cyber-Sicherheit wesentlich fremder. In diesen Unternehmen ist es offensichtlich und dringend erforderlich, die Mitarbeiter zu sensibilisieren. „Schon ein relativ erfahrener Benutzer kann viele Risiken vermeiden“, erinnert Matthieu Bonenfant, der Marketingdirektor von Stormshield. Die Bedrohungen sind nämlich häufiger auf unvorsichtige oder vom Pech verfolgte Mitarbeiter als auf Mitarbeiter mit wirklich bösen Absichten zurückzuführen.
Franck Nieclany weist darauf hin, dass, „um die gewählten Lösungen optimal anzupassen, es unbedingt erforderlich ist, zuvor richtig zu verstehen, was die Mitarbeiter mit den Tools und kritischen Daten tun“. Zu den nicht zu vernachlässigenden Problemen gehört die Nutzung von EDV-Tools der shadow IT (Schatten-IT) durch die Mitarbeiter, ihre Bereitschaft, neue Anwendungen für professionelle Zwecke zu nutzen, ohne mit der IT-Leitung Rücksprache zu nehmen. Als ein weiteres wichtiges Element muss sichergestellt werden, dass „alle Sicherheitsverfahren sich harmonisch in den Geschäftsprozess jeder Abteilung einfügen“, fügt der Chief Information Officer von Stormshield hinzu.
Schließlich muss auch das mobile Arbeiten berücksichtigt werden. „Der innerbetriebliche Sicherheitsbereich ist in einer Zeit mobilen Arbeitens, vernetzter Geräte oder outgesourcter ERP sinnlos, heute können Unternehmen eine verstärkte Sicherheitspolitik beispielsweise durch eine feinere Segmentierung der Datenströme aufbauen. Diese wird nach dem Prinzip des „zero trust network“ aufgebaut und ermöglicht es, eine Bedrohung einzugrenzen und zu vermeiden, dass sie sich verbreitet“, schlussfolgert Stéphane Prévost.