Dies ist das Jahr für den Aufbau einer Kultur der Cybersicherheit

Die kumulative Wirkung der massiven Angriffswelle wird 2022 zu erheblichen Verbesserungen der Cybersecurity-Kultur führen, prognostiziert Dr. Keri Pearlson, Geschäftsführerin von „The Cybersecurity at MIT Sloan“, eines interdisziplinären Konsortiums zur Verbesserung der Cybersecurity kritischer Infrastrukturen an der MIT Sloan School of Management.

In ihrer Rede auf der Online-Veranstaltung Predict 2022 der Techstrong Group sagte Dr. Pearlson, dass 2022 mehr Unternehmen ihre Werte, Einstellungen und Überzeugungen mit den Cybersecurity-Richtlinien abstimmen werden, die sie entwickeln. Führungskräfte werden beispielsweise die Cybersecurity zu einem regelmäßigen Thema bei Besprechungen machen, da Unternehmen alle Mitarbeitenden dazu ermutigen wollen, sie als Teil ihrer Arbeit zu betrachten und nicht als Aufgabe, die ausschließlich von jemand anderem in ihrem Auftrag ausgeführt wird, so Dr. Pearlson.

Das Konsortium von „The Cybersecurity at MIT Sloan“ hat ein Reifegrad-Modell entwickelt, das vier mehrdimensionale Ebenen des Cybersecurity-Bewusstseins in Organisationen beschreibt. Auf der höchsten Ebene sind sich alle darüber im Klaren, dass Cybersecurity Teil ihrer Arbeit ist. Auf der untersten Ebene wissen die Mitarbeitenden einfach nur, dass einige der von ihnen verwendeten Tools über eingebettete Cybersecurity-Funktionen verfügen.

Die Anpassung des Verhaltens an Security-Richtlinien beinhaltet alles, von der Schulung der Mitarbeitenden zum Erkennen von Phishing-Angriffen bis hin zur Belohnung für die konsequente Einhaltung bewährter Security-Praktiken, sagte Dr. Pearlson. Letztlich sei es eine Kampagne, die das Denken und Fühlen der Mitarbeiter verändern soll, fügte sie hinzu.

Die Notwendigkeit, eine Kultur der Cybersecurity aufzubauen, ist 2022 noch wichtiger geworden, da die Cyberkriminellen immer raffiniertere Angriffe starten. Tatsächlich stellte Dr. Pearlson fest, dass eine durchschnittliche Organisation täglich etwa 200.000  Security-Vorfälle automatisch vereitelt. Es sei nicht so, dass Cybersecurity-Experten versagt hätten. Es sei nur so, dass Hacker ihre Herangehensweise so schnell weiterentwickelten, dass Organisationen genauso schnell reagieren müssten.

Wie man eine Kultur der Cybersecurity aufrechterhält

Es liegt auf der Hand, dass es nicht einfach ist, eine Cybersecurity-Kultur innerhalb einer Organisation aufzubauen und aufrechtzuerhalten . Ermüdung spielt mit einer schwankenden Arbeitsmoral der Mitarbeitenden unweigerlich eine Rolle.  Experten für Cybersecurity müssen Wege finden, ihre Mitarbeitenden immer wieder positiv einzubinden. Zuckerbrot ist in der Regel auf lange Sicht viel wirksamer als die sprichwörtliche Peitsche. Natürlich sind Organisationen mit ansteigender Automatisierung der Cybersecurity weniger darauf angewiesen, dass ihre Mitarbeitenden tagtäglich das Richtige tun.

Das Wichtigste ist, dass sich der Tenor der Beziehung zwischen Mitarbeitenden und Cybersecurity-Teams in vielen Organisationen ändern muss. Cyberangriffe wie Ransomware sind eine existenzielle Bedrohung für die Organisation. Wenn die Organisation nicht arbeiten kann, ist sie nicht in der Lage, die erforderlichen Einnahmen zu erzielen, um ihren Verpflichtungen zur Lohnzahlung nachzukommen. Die Folge sind weniger Gehaltserhöhungen und in einigen Fällen sogar Personalabbau.

Mitarbeitende, die sich der negativen Auswirkungen bewusst sind, die ein Cybersecurity-Vorfall auf eine Organisation haben kann, sind viel eher bereit, ihren beruflichen Fortbestand zu verteidigen – wenn nicht für sich selbst, dann zumindest für ihre Kollegen. Innerhalb von Organisationen kann es unterschiedliche Meinungen geben, aber die meisten haben ansatzweise ein Gefühl für die Notwendigkeit, die Einheit zu schützen, mit der man den Lebensunterhalt verdient.

Erfahrene Cybersecurity-Experten werden einen Weg finden, diese natürlichen Motivationen zu nutzen. Denn ganz gleich, wie unterschiedlich die Meinungen in der Unternehmensfamilie auch sein mögen – in der Regel schließt man sich im Angesicht von äußeren Bedrohungen zusammen.