Die Angriffsfläche für Cybervorfälle steigt mit der zunehmenden Digitalisierung und den Veränderungen der Arbeitswelt durch die Covid19 Pandemie, welche kurzfristig ein Umdenken und Umstrukturieren von Prozessen erforderte, dies zeigt das aktuelle „Bundeslagebild Cybercrime“ des Bundeskriminalamtes.
Mit zunehmendem Vorkommen von Phishing, Malware und Social Engineering wächst die Relevanz vom Umgang mit Cyberangriffen als elementares Geschäftsrisiko.
Ein überwiegender Teil dieser Vorfälle ist auf Fehlverhalten von Mitarbeitern zurückzuführen, da die Angreifer Methoden anwenden, um durch das Öffnen von Dateien und Links Zugang zu den Systemen des Unternehmens zu erhalten.
Dies erfordert eine fortlaufende Sensibilisierung der Mitarbeiter und das Schaffen von Anreizen für cybersichere Verhaltensweisen, die für das gesamte Unternehmen gelten müssen. IT-Sicherheit betrifft dabei jeden Mitarbeiter und jede Abteilung im Unternehmen – vom Praktikanten über den Lageristen bis hin zum Management.
Informationssicherheit muss deswegen bewusst gelebt werden und in der Unternehmenskultur verankert sein.
Der Mitarbeiter kann dazu beitragen, die Sicherheitsrisiken zu minimieren oder zu erhöhen, je nachdem, wie gut er über die Risiken informiert ist und wie sorgfältig er mit sensiblen Daten umgeht.
Die Sensibilisierung für Sicherheitsrisiken nimmt deshalb eine entscheidende Rolle ein. Dies beinhaltet beispielsweise Schulungen und Trainings, um sicherzustellen, dass die Mitarbeiter verstehen, wie sie sich vor Cyberangriffen schützen können, wie sie verdächtige Aktivitäten erkennen und wie sie reagieren sollen, wenn sie auf Auffälligkeiten stoßen. Durch regelmäßige Sicherheitsaudits und durch Protokollierung von Bedrohungen, können die Kompetenzen der Mitarbeiter gefördert werden. Dabei ist es wichtig die Mitarbeiter aktiv in den Kulturwandel einzubeziehen, indem man Feedback einholt und sie ermutigt an der Entwicklung der Prozesse mitzuwirken.
Ein weiterer Faktor ist die Reaktionsfähigkeit im Falle eines kritischen Vorfalls. Dabei helfen Richtlinien und klar definierte Prozesse, um den Schaden zu minimieren. Im Vorfeld sollte eine klare Strategie definiert werden, sodass im Notfall alle Beteiligten genau wissen, was zu tun ist. Um frühzeitig einzugreifen, müssen die IT-Systeme regelmäßig beobachtet werden, wie beispielsweise die Überwachung von Netzwerkaktivitäten. Durch automatisierte Sicherheitslösungen, wie ein Security Information and Event Management System (SIEM), können Bedrohungen in Echtzeit identifiziert werden. Zusätzlich können IT-Sicherheitsaufgaben an externe Dienstleister ausgelagert werden, sodass deren Expertise und Ressourcen genutzt werden können, um die Reaktionsgeschwindigkeit zu erhöhen.
Um die Wirksamkeit der Cybersicherheitsrisiken sicher zu stellen, sollte die Qualität und der Umfang des Informationsstandes regelmäßig aktualisiert werden. Als Quelle können dafür aktuelle Lagebilder von staatlichen Stellen und Herstellern dienen, sowie Warn- und Informationsquellen eines etablierten CERT (Computer Emergency Response Team). Dabei müssen diese Quellen regelmäßig ausgewertet werden, um unmittelbare Reaktionen zu planen und durchzuführen.
Zusätzlich ist es wichtig, dass die Mitarbeiter Verantwortung übernehmen, wenn es um sensible Daten geht. Auch hierbei können Richtlinien helfen, damit Daten nicht auf unsicheren Geräten gespeichert werden, oder unsachgemäß verarbeitet werden. Dies umfasst Passwortrichtlinien, Zugriffsrichtlinien, Datenklassifizierungsrichtlinien und Richtlinien für mobile Geräte. Laut dem BSI sollte die Personalplanung technische, und organisatorische Rollen definieren, sowie auch Zuständigkeiten festlegen, wobei externe Dienstleister eingebunden werden können. Wichtig ist hierbei die klare Trennung der vorhergesehenen Rollen. Die Hinzuziehung von externem Sachverstand kann einen umfassenden Schutz verstärken durch die Durchführung einer Cyber-Sicherheitsberatung, durch Penetrationstests und durch kontinuierliche Cyber-Audits. Da Sicherheitsvorfälle oft unvorhergesehen eintreten, sollte eine externe Unterstützung frühzeitig eingeplant werden, bereits vor Eintreten von Sicherheitsvorfällen.
Dabei ist es wichtig klare Verantwortlichkeiten zu definieren, in manchen Fällen kann es auch sinnvoll sein einen externen Sicherheitsbeauftragten einzubinden.
Ein externer Sicherheitsbeauftragter hat in der Regel ein breites Wissen und Erfahrung in der Erkennung, Analyse und Behandlung von IT-Sicherheitsproblemen. Er agiert dabei unabhängig von internen Interessen und hat in der Regel keine persönliche oder institutionelle Verbindung zum betroffenen Unternehmen. Ein externer Sicherheitsbeauftragter kann zudem eine kosteneffektive Alternative darstellen, da er nur bei Bedarf oder projektbezogen beauftragt wird und die Kosten daher niedriger sein können als die Einstellung eines festangestellten Sicherheitsbeauftragten.
Um eine „Sicherheitskultur“ zu schaffen, die im gesamten Unternehmen getragen wird, müssen die Mitarbeiter regelmäßig durch Schulungen und Trainings sensibilisiert werden und es müssen Richtlinien aufgesetzt werden, die regelmäßig und verlässlich kontrolliert werden auf deren Einhaltung.
Die Informationssicherheit liegt dementsprechend nicht ausschließlich im Verantwortungsbereich der IT, sondern muss gesamtheitlich fungieren.
Ein Kulturwandel der IT-Sicherheit in Unternehmen ist ein langfristiger Prozess, der einen koordinierten Ansatz und die Einbeziehung aller Mitarbeiter erfordert.
Durch die Schaffung einer sicherheitsbewussten Kultur und die Umsetzung von Best Practices und Technologien können Sie ihre Daten und Systeme vor Bedrohungen schützen und das Vertrauen ihrer Kunden und Partner stärken.
Wie diese Kulturwandel gelingt?
