Sicherheitskultur

Aufbau einer auf Sicherheit ausgerichteten Kultur im Cybersecurity Awareness Month

Druckfreundlich, PDF & E-Mail

Im Oktober war sowohl in Nordamerika als auch in Europa der Monat der „Cybersecurity Awareness“. Beide Kontinente haben in diesem Jahr dem Nutzerverhalten besondere Aufmerksamkeit geschenkt. Für die EU ist das Motto für 2021 „Erst denken, dann klicken“, in den USA: „Do your part. Be cyber smart“ (Trage deinen Teil bei. Sei cyber-smart.) Der erste Schritt zu einer dauerhaften Verhaltensänderung ist die Stärkung des Risikobewusstseins, um langfristig die Cybersicherheit in allen Bereichen der Wirtschaft und bei den Verbrauchern zu verbessern. In der Unternehmenswelt ist der Wandel nie einfach, aber er bleibt ein erstrebenswertes Ziel.

Die Fokussierung auf den Nutzer ist angebracht, denn beim Thema Sicherheit geht es letztendlich um Menschen. Es sind Ihre Mitarbeiter, die durch Phishing-E-Mails getäuscht werden können. Es sind Menschen, die sie täuschen. Daher sollten die Bemühungen zur Steigerung der Cyber-Resilienz bei Ihren Nutzern ansetzen. Die Frage ist: Wie baut man eine Kultur des Sicherheitsbewusstseins auf?

Warum gerade jetzt?

Die Menschen verhalten sich im Internet seit Jahrzehnten falsch. Doch die Auswirkungen ihrer Fehler und die Häufigkeit, mit der sie ins Visier genommen werden, sind heute größer als je zuvor. Dies hängt zum Teil mit der Pandemie zusammen, in deren Folge Mitarbeiter monatelang von zu Hause aus arbeiten mussten. Untersuchungen ergaben, dass die Menschen außerhalb des Büros mehr Risiken eingingen, dass sie stärker durch Haushaltsmitglieder abgelenkt wurden und dass sie seltener Kollegen um Hilfe baten.

Eine Studie vom Anfang dieses Jahres ergab, dass sogar 30 % der Büroangestellten zugaben, dass sie jemand anderem erlaubt hatten, ihren Arbeitslaptop zu benutzen, z. B. für Einkäufe, Internet-Downloads, Gaming und Streaming. Weitere (53 %) gaben an, dass sie potenziell unsichere und nicht verwaltete private Geräte für die Arbeit nutzen. Insider-Risiken sind auch weiterhin für die Mehrzahl der Datenschutzverletzungen verantwortlich, die dem ICO (Information Commissioner's Office), der britischen Aufsichtsbehörde, gemeldet werden.

A separate study found human error was the number one cause of serious insider breaches in 84% of cases. It revealed that three-quarters (74%) of responding organizations had been breached because staff broke security rules, and a similar number (73%) suffered phishing attacks. The impact can be huge. According to one estimate, the average cost of insider threats rose by 31% over two years to exceed $11 million in 2020.

Was macht eine Kultur der Sicherheit aus?

Es ist wichtig, Ihre Mitarbeiter dazu zu bewegen, mehr über die Best Practices für Sicherheit nachzudenken, da Technologie unerwünschte Ereignisse nicht zu 100 % verhindern kann. Sie können die beste Anti-Malware der Welt haben, aber wenn ein Mitarbeiter Opfer eines Phishing-Angriffs wird, haben Cyber-Kriminelle mit den erhaltenen Zugangsdaten direkten Zutritt. Sobald sie im Netzwerk sind, gibt es kein Halten, denn sie sind Meister der Technik und legitimer Tools, um laterale Bewegungen zu erreichen. Das ist teilweise der Grund dafür, warum das Erkennen und Eindämmen einer Datenverletzung durchschnittlich 287 Tage dauert.

Was macht also eine sicherheitsorientierte Kultur aus? Laut dem National Cyber Security Centre (NCSC) kann sie auf drei Schlüsselkonzepte reduziert werden:

  • Immer an die Maßnahmen denken, die Sie aus Sicherheitsgründen setzen sollten.
  • Diese Maßnahmen konsequent, zur richtigen Zeit und unter den richtigen Umständen umsetzen.
  • Einer sicheren Vorgehensweise Priorität einräumen, je nach Situation.

Ein entscheidender Einwand lautet, dass es unter gewissen Umständen besser ist, eine Aufgabe zu erledigen als sie zu ignorieren, selbst wenn der Sicherheitsaspekt dabei zu kurz kommt. Es ist der alte Streit darüber, ob die Sicherheit oder die Produktivität Vorrang haben sollte.

Erste Schritte mit Schulungen zum Sicherheitsbewusstsein

Ein guter Ansatz sind regelmäßige Schulungen zur Stärkung des Risikobewusstseins für alle Mitarbeiter. Angesichts der vielen Optionen auf dem Markt kann es jedoch schwierig sein, die beste Lösung für Ihr Unternehmen zu finden. Bedenken Sie Folgendes, um optimale Resultate zu erzielen:

  • Regelmäßiges Abhalten kurzer Lektionen – 10 bis 15 Minuten
  • Einbeziehen aller Beschäftigten – vom CEO bis hin zu Zeitarbeitern und Freelancern
  • Simulationen aus dem echten Umfeld erhöhen die Relevanz; ihre Mitarbeiter lernen so die neuesten Betrugsmaschen kennen, die im Internet kursieren
  • Lösungen wählen, die eine Analyse der Ergebnisse zur Verbesserung der Programme ermöglichen

Welche Themen gehören dazu?

Neben Phishing sollten Sie auch andere Elemente von Best-Practice-Sicherheitsprozessen in Ihre Schulungen aufnehmen. Nützlich sind auch:

  • Die Verwaltung von Passwörtern
  • Das Erkennen von Betrug mit kompromittierten Geschäfts-E-Mails
  • Tipps zum Umgang mit Daten und zum Datenschutz
  • Meldung neuer Betrugsmaschen/Bedrohungen
  • Warum es wichtig ist, keine beruflichen E-Mails/Logins für die Anmeldung von privaten Kundenkonten zu verwenden

Über die Schulung hinaus

Außer der Stärkung des Risikobewusstseins gibt es natürlich weitere Aspekte, wie man ein sicherheitsbewusstes Unternehmen schafft. Im Idealfall handelt es sich um einen „unternehmensweiten“ Ansatz, der Folgendes umfasst:

  • Die Entwicklung von einfach zu handhabenden Sicherheitsrichtlinien und -tools, die die Produktivität unterstützen.
  • Eine Kultur, in der Transparenz und Ehrlichkeit belohnt werden – Mitarbeiter sollten nicht das Gefühl haben, eine Verwarnung zu riskieren, wenn sie versehentlich gegen die Regeln verstoßen.
  • Eine IT-Abteilung, die bereit ist, ad hoc zu schulen, zu informieren und zu beraten.
  • Eine Sicherheitskultur, die die verschiedenen Geschäftsbereiche umfasst
  • Aktive Beteiligung auf allen Unternehmensebenen
  • Ein Sicherheitsverantwortlicher im Vorstand, der von Anfang an bei neuen Projekten konsultiert wird.

Es geht darum, die Sicherheit in die Struktur des Unternehmens zu integrieren, sodass es für die Mitarbeiter selbstverständlich ist, die richtigen Entscheidungen zu treffen, und der offene Dialog einer Schatten-IT vorgezogen wird. Bei dem, was heute auf dem Spiel steht, sollte die Cybersicherheit niemals ein Nebengedanke sein.

Holen Sie sich das kostenlose Phishing-Bewusstseinspaket.

Nach oben scrollen
Twittern
Teilen
Teilen