Barracuda full logo

Sicherheitskultur und ihre Bedeutung für den Schutz von Unternehmen

Themen:
18. Nov.. 2024
|

Die Zahl der Cyberangriffe steigt rapide an. Dank der durch die künstliche Intelligenz entstandenen Technologien können Cyberkriminelle nun ausgeklügelte Social-Engineering-Angriffe durchführen, wodurch solche Bedrohungen häufiger auftreten und einfacher auszuführen sind. Allerdings ist der Einsatz von KI nicht der einzige Grund für erhöhte Cyberrisiken. Die schnelle Digitalisierung, die sich in der zunehmenden Verbreitung von Geräten des Internets der Dinge (IoT) zeigt, und die Umstellung auf Cloud-Umgebungen haben die Angriffsflächen enorm erweitert und bieten Hackern mehr Einfallstore, die sie ausnutzen können.

Dem IBM Cost of a Data Breach Report 2024 zufolge sind die durchschnittlichen Kosten für Datenschutzverletzungen weltweit um 10 % auf 4,88 Mio. USD pro Vorfall gestiegen. Cybersecurity Ventures prognostiziert, dass die weltweiten Kosten für Cyberkriminalität bis 2025 jährlich 10,5 Billionen US-Dollar erreichen werden. Diese alarmierenden Statistiken unterstreichen die Notwendigkeit einer robusten Sicherheitskultur, die es Unternehmen ermöglicht, in der heutigen komplexen digitalen Bedrohungslandschaft zu überleben und die wachsenden Risiken moderner Technologien zu bewältigen – Risiken, die mit herkömmlichen Sicherheitslösungen allein nicht vollständig eingedämmt werden können.

Dieser Artikel befasst sich mit der Bedeutung einer etablierten Sicherheitskultur in Unternehmen und zeigt die zahlreichen Vorteile auf, die sich aus der Durchsetzung einer solchen Kultur ergeben. Doch bevor wir erklären, warum Unternehmen eine solche Kultur brauchen, definieren wir zunächst den Begriff „Sicherheitskultur“.

Was macht eine Kultur der Sicherheit aus?

Die Sicherheitskultur besteht aus einer Reihe gemeinsamer Werte, Überzeugungen und Verhaltensweisen, die eine sicherheitsbewusste Entscheidungsfindung in allen Betriebsabläufen einer Organisation fördern. Sie fördert einen „Security-First“-Ansatz, bei dem Mitarbeiter und Manager Sicherheitsüberlegungen proaktiv in jede Aktion und Interaktion einbeziehen. Dieser proaktive Ansatz stellt sicher, dass Unternehmen nicht nur auf entstandene Bedrohungen reagieren, sondern dass sie gut vorbereitet sind, um Risiken zu entschärfen, bevor sie das Unternehmen erreichen.

Die Sicherheitskultur liegt nicht allein in der Verantwortung der IT-Abteilung. So müssen alle Mitarbeiter eines Unternehmens und aller Abteilungen die Bedeutung der Security kennen und bewährte Security-Praktiken in alle täglichen Abläufe integrieren, um die digitalen Werte und Daten des Unternehmens zu schützen.  

In einem Unternehmen mit einer starken Sicherheitskultur würden Mitarbeiter, die ungewöhnliche Anfragen nach vertraulichen Informationen per E-Mail oder Telefon erhalten, diese Anfragen beispielsweise über vertrauenswürdige Kommunikationskanäle wie die Direktkommunikation oder sichere Messaging-Plattformen wie Slack verifizieren. Diese Sorgfalt kann Phishing-Versuche effektiv stoppen.

Microsoft-Ansatz zur Implementierung einer Sicherheitskultur

Ein gutes Beispiel für die Bedeutung einer Sicherheitskultur zur Bekämpfung von Cyberangriffen ist Microsoft, das Ende 2023 die Secure Future Initiative (SFI) ins Leben gerufen hat. Diese Initiative wurde angesichts der zunehmenden Häufigkeit, Geschwindigkeit und Raffinesse von Cyberangriffen ins Leben gerufen, die die Implementierung robuster Security-Praktiken in allen Abteilungen und Produkten von Microsoft vorsieht. Brad Smith, der Geschäftsführer von Microsoft, hat in einem Blogbeitrag die Bedeutung dieser Initiative beschrieben und in einem Satz zusammengefasst: „Diese neue Initiative wird alle Bereiche von Microsoft für einen verbesserten Cybersecurity-Schutz vereinen.“

SFI von Microsoft basiert auf den folgenden drei Säulen:

  1. Sicheres Design – Security hat bei der Entwicklung von Produkten und der Bereitstellung von Dienstleistungen oberste Priorität.
  2. Security als Standard – Es gibt eine automatische Implementierung von Security-Schutzmaßnahmen. Wesentliche Sicherheitsfunktionen werden standardmäßig durchgesetzt und können vom Benutzer nicht einfach deaktiviert werden. Dieser Ansatz stellt auch sicher, dass die Security-Einstellungen nach hohen Standards konfiguriert werden.
  3. Sicherer Betrieb – Die Security-Protokolle und die Überwachung sollten regelmäßig aktualisiert werden, um aktuellen und zukünftigen Bedrohungen gerecht zu werden.

Warum ist die Sicherheitskultur für Unternehmen wichtig?

Eine solide Sicherheitskultur bietet Unternehmen mehrere wichtige Vorteile:

Früherkennung von Bedrohungen

Eine starke Sicherheitskultur ermöglicht die frühzeitige Erkennung potenzieller Bedrohungen, bevor sie von Bedrohungsakteuren ausgenutzt werden. Zum Beispiel werden Mitarbeiter, die mithilfe von Phishing-E-Mail-Simulatoren geschult wurden, wachsamer gegenüber Phishing-E-Mails und bösartigen Anhängen sein, was den Erfolg solcher Angriffe verhindern könnte.

Minimieren des Schadens nach einem Angriff

Selbst nach einem erfolgreichen Angriff kann ein sicherheitsbewusster Mitarbeiter die Ausbreitung der Infektion auf die gesamte IT-Umgebung einschränken. So kann beispielsweise geschultes Personal kompromittierte Endgeräte vom Netzwerk trennen und ein weiteres Eindringen verhindern. Ein Beispiel aus der Praxis: Wenn Ransomware eine Abteilung trifft, verhindert eine schnelle Isolierung des Netzwerksegments der Abteilung, dass Ransomware die Geräte anderer Abteilungen infiziert.

Verantwortung fördern

Wenn Sie sich nicht nur auf automatisierte Lösungen verlassen, sondern auch Ihre Mitarbeiter dazu auffordern, Verantwortung für die Security zu übernehmen, fördern Sie die Wachsamkeit im gesamten Unternehmen. Wenn Sie beispielsweise Anreize wie Beförderungen und Prämien an Sicherheitspraktiken wie die Vermeidung von Phishing oder die Aufrechterhaltung der Gerätesicherheit (z. B. durch die Nichtinstallation nicht autorisierter Anwendungen oder den Besuch nicht autorisierter Websites) knüpfen, motivieren Sie Ihre Mitarbeiter dazu, Sicherheitsstandards einzuhalten.

Schutz sensibler Daten

Eine starke Sicherheitskultur schützt sensible Daten vor unbefugtem Zugriff. Eine Sicherheitsverletzung kann heute katastrophale finanzielle, rufschädigende und betriebliche Folgen haben. Eine Sicherheitskultur kann dazu beitragen, Datenschutzverletzungen zu minimieren, vor allem in Unternehmen, die in stark regulierten Umgebungen arbeiten. Ein sicherheitsbewusster Mitarbeiter einer Gesundheitsorganisation wird sich zum Beispiel daran gewöhnen, Patientendaten zu verschlüsseln und die Identität des Empfängers zu überprüfen, bevor er medizinische Daten weitergibt. Solche Vorgehensweisen können den Missbrauch sensibler Patientendaten weitgehend verhindern.

Verstärkung sicherer Praktiken

Die Sicherheitskultur fördert Gewohnheiten wie das Prüfen von E-Mail-Anhängen, das Vermeiden des Anklickens verdächtiger Links und die Verwendung sicherer, einzigartiger Passwörter. Wenn sich Mitarbeiter beispielsweise daran gewöhnen, Absenderadressen und digitale Signaturen zu überprüfen, bevor sie Anlagen aus externen Quellen öffnen, reduziert dies die Wahrscheinlichkeit einer Infektion mit Malware, wie einem Keylogger oder Ransomware, drastisch. Zahlreichen Studien zufolge ist menschliches Versagen die Hauptursache für Cyberangriffe und eine Sicherheitskultur kann diese Bedrohung auf ein Minimum reduzieren. Dem Thales Data Threat Report zufolge, für den 3.000 IT- und Security-Experten in 18 Ländern befragt wurden, identifizierten 55 % der Befragten menschliches Versagen als Hauptursache für Datenschutzverletzungen.

Vertrauen der Stakeholder aufbauen

Robuste Sicherheitspraktiken stärken das Vertrauen aller Beteiligten, wie das von Kunden, Geschäftspartnern und Aufsichtsbehörden. Zum Beispiel ist es üblich, dass Finanzinstitute ihre Sicherheitsprotokolle beim Kunden-Onboarding präsentieren (z. B. erforderliche Multifaktor-Authentifizierung (MFA) und SSL für den Kundenzugriff auf Bank-Portale). Diese Sicherheitspraktiken führen zu einem soliden Vertrauen der Kunden.

Einhaltung gesetzlicher Auflagen gewährleisten

Die Compliance mit Datenschutzbestimmungen wie DSGVO, PCI DSS und HIPAA erfordert strenge Security-Kontrollen. Zum Beispiel sorgen Einzelhandelsunternehmen durch regelmäßige Mitarbeiterschulungen, automatische Sicherheitsüberprüfungen und Audits für die kontinuierliche Compliance mit PCI DSS. Eine starke Sicherheitskultur vereinfacht die Einhaltung solcher Mandate, indem sie die Compliance in den täglichen Betrieb integriert.

Tipps für eine starke Sicherheitskultur für Unternehmen

Kultur und Cybersecurity sind eng miteinander verknüpft. Es geht nicht nur um Regeln und Werkzeuge, sondern auch darum, wie der Einzelne Sicherheit empfindet und wie er sie zu erreichen versucht. Bei Kultur geht es um Gewohnheiten, Einstellungen und Wünsche. Um eine Kultur der Sicherheit zu etablieren, müssen die einzelnen Mitarbeiter gut informiert und vorbereitet sein, indem sie Schulungen zum Thema Cybersecurity absolvieren, Rechenschaft ablegen und Verantwortung für ihr Handeln bei der Arbeit übernehmen.

Auch wenn jedes Unternehmen anders an die Schaffung einer Sicherheitskultur herangeht, gibt es doch einige allgemeine Bestandteile, die alle Unternehmen berücksichtigen sollten.

Unterstützung der Führungsebene

Der erste Schritt bei der Entwicklung einer Sicherheitskultur in einem Unternehmen besteht darin, sich die Unterstützung des oberen Managements zu sichern. Wenn sich Top-Manager für die Förderung einer Sicherheitskultur einsetzen, halten sich die Mitarbeiter im gesamten Unternehmen eher daran.

Die Unterstützung der Führungsebene ist nicht nur von entscheidender Bedeutung, um bei den Mitarbeitern ein tief verwurzeltes Security-Bewusstsein zu fördern, sondern auch, um die notwendigen Mittel für die Durchführung umfassender Cybersecurity-Schulungsprogramme bereitzustellen. Solche Programme sind von entscheidender Bedeutung, um den Mitarbeitern das Wissen und die Fähigkeiten zu vermitteln, die sie benötigen, um die höchsten Security-Schutzstandards einzuhalten und zu befolgen. Wenn sich die Führungsebene eines Unternehmens für die Bedeutung der Security ausspricht, können sie einen einheitlichen Ansatz schaffen, der die allgemeine Sicherheit und Widerstandsfähigkeit gegen Cyberbedrohungen erhöht.

Sicherheitsrichtlinien entwickeln und an alle Mitarbeiter kommunizieren 

Für die Wirksamkeit der Security-Richtlinien ist es wichtig, diese allen Mitarbeitenden klar zu kommunizieren. Der erste Schritt besteht darin, die kritischen digitalen Ressourcen des Unternehmens (z. B. Daten, Anwendungen und andere IT-Systeme) zu identifizieren und die potenziellen Bedrohungen zu bewerten. Dieses Verständnis wird Ihnen helfen, die besten Schutzmaßnahmen für jedes Element zu bestimmen.

Wichtige Komponenten der Richtlinie:

  • Klassifizierung der Daten: Gruppieren Sie Informationen nach ihrer Sensibilität als öffentlich, intern, vertraulich oder eingeschränkt
  • Zugriffskontrolle: Definieren von Verfahren zum Erteilen und Entziehen von Zugriffsrechten für Benutzer und Systeme
  • Incident Response: Erstellen Sie Protokolle für den Umgang mit Sicherheitsvorfällen. Was muss bei einer Datenschutzverletzung getan werden?
  • Security für externes Arbeiten: Spezifizieren Sie die Anforderungen für den Fernzugriff und die Gerätesicherheit
  • Drittanbieter-Management: Detaillierte Sicherheitsanforderungen für externe Partner wie externe Anbieter und andere Auftragnehmer.

Stellen Sie zum Beispiel sicher, dass personenbezogene Kundendaten in einem verschlüsselten Format gespeichert werden und dass jeder Zugriff auf diese Daten durch Mitarbeitende in einem Prüfprotokoll festgehalten wird.

Sicherheitsgewohnheiten des Personals fördern

Unternehmen müssen Security in ihre täglichen Routineaktivitäten einbeziehen, um effektive Sicherheitsgewohnheiten zu fördern, die über einen längeren Zeitraum hinweg Bestand haben. So könnte eine Bank beispielsweise einen „Clean Desk“-Wettbewerb ins Leben rufen, bei dem verschiedene Abteilungen jeden Monat gegeneinander antreten und die besten Security-Praktiken vorführen. Dazu gehören Aufgaben wie das Wegräumen sensibler Dokumente, das Sperren von unbeaufsichtigten Computerbildschirmen und das regelmäßige Aktualisieren aller installierten Anwendungen und Betriebssysteme auf ihren Computern.

In ähnlicher Weise verfolgte ein Gesundheitsdienstleister einen spielerischen Sicherheitsansatz, indem er Punkte für die Identifizierung von Test-Phishing-E-Mails mithilfe von Phishing-Simulatoren vergab und vierteljährlich Preise an die Mitarbeitenden vergab, die am besten abschnitten. Durch diese praktischen Übungen wurde Security von einer lästigen Pflicht zu einem normalen Bestandteil der Arbeitsplatzkultur.

Schulungen zum Thema Cybersecurity 

Schulungen sind wichtig, um Ihre Belegschaft über die neuesten Angriffsmethoden und Social-Engineering-Tricks zu informieren. Mit dem Aufkommen von KI müssen Mitarbeitende auch darüber aufgeklärt werden, wie Angreifer KI-gestützte Tools nutzen, um Angriffe gegen sie auszuführen. Zum Beispiel sind Schulungen zur Erkennung von Deepfake-Betrug unverzichtbar geworden, da diese Angriffe in letzter Zeit eskalieren.

Angesichts der zunehmenden Zahl von Cyberangriffen ist zur Verwaltung von Sicherheitsaspekten innerhalb von Unternehmen zunehmend ein ganzheitlicher Ansatz erforderlich. In diesem Artikel erörtern wir die Bedeutung einer Sicherheitskultur in Unternehmen zum Schutz vor Cyberbedrohungen, erklären die Vorteile einer Sicherheitskultur und geben abschließend einige Tipps zum Aufbau einer erfolgreichen Sicherheitskultur für jedes Unternehmen.  

Bericht: So steuern Sie Ihr Unternehmen durch Cyberrisiken
Verwandte Beiträge:
Warum Sie mit dem MITRE ATT&CK-Framework vertraut sein sollten
Warum Sie mit dem MITRE ATT&CK-Framework vertraut sein sollten
 Cybersecurity Awareness Month 2023: Veranstaltungen, Sicherheitstipps und mehr
Cybersecurity Awareness Month 2023: Veranstaltungen, Sicherheitstipps und mehr
 Machen Sie das Beste aus dem Cybersecurity-Awareness-Monat
Machen Sie das Beste aus dem Cybersecurity-Awareness-Monat
 Für eine effektive Reaktion auf Vorfälle verwenden Sie eine Checkliste zur Behebung
Für eine effektive Reaktion auf Vorfälle verwenden Sie eine Checkliste zur Behebung
Den Blog durchsuchen

Der Ransomware Insights Bericht 2025

Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance 

Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.

WEBINAR ANSEHEN

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.