IT-Sicherheit ist nicht nur eine Frage von Technologie, sondern hängt auch vom Faktor Mensch ab. Damit wird sie zu einer Überzeugungs- und Kommunikationsaufgabe. Wie die Verantwortlichen diesen Beitrag zur Cybersicherheit leisten können, beschreibt Jörg von der Heydt, Regional Director DACH bei Bitdefender.
IT-Administratoren und den CISO – sofern vorhanden – muss man nicht vom Wert der IT-Sicherheit überzeugen. Eine effektive IT-Sicherheit hängt aber auch von den Beiträgen der einzelnen Abteilungen und Mitarbeiter ab. Um diese von Risiken, Gefahren und Möglichkeiten zur Abwehr von Cybergefahren zu überzeugen, gibt es verschiedene Wege jenseits der notwendigen Sicherheitstechnologien.
Cybersicherheits-Technologien sind nicht alles: Mit Ihnen allein lässt sich ein hohes, aber kein umfassendes Maß an Sicherheit erzielen. Sie wehren eine Unmenge von automatisiert durchgeführten Attacken schon im Vorfeld ab, ohne dass die Opfer sie überhaupt bemerken.
Dazu gehört zum Beispiel die automatische Phishing Mail mit einer bekannten Malware-Signatur: Ohne eine klassische Antivirus-Technologie kann sie zur Keimzelle einer Ransomware-Attacke werden.
Die Urheber gefährlicher Attacken, wie etwa Advanced Persistent Threats (APT), gehen aber einen anderen Weg. Sie nutzen den Stress und die Hektik im Berufsalltag aus und verleiten Anwender dazu, folgenschwere Fehler zu begehen. Ein Schutz dagegen hängt in diesen Bereichen immer noch vom Verhalten der Mitarbeiter ab, deren Fehler zu Sicherheitsvorfällen führen können.
Wer sich gegen die Schwachstelle Mensch schützen will, muss zum einem die Mitarbeiter schulen. Der belehrende Zeigefinger reicht aber nicht aus. IT-Sicherheitsteams müssen Mitarbeiter auf ihre Seite ziehen. Das hat nicht unbedingt etwas mit Fachwissen oder Technik zu tun. Hier handelt es sich um Sensibilisierungs- und Überzeugungsarbeit, letztlich um eine Kommunikationsaufgabe.
Die folgenden sechs Wege können IT-Sicherheit zur Sache aller Beschäftigten machen:
- Miteinander reden
Wer überzeugen will, muss das Gespräch suchen. Das ergibt sich schon allein aus der Tatsache, dass in vielen Unternehmen die IT nur dann eine wirklich entscheidende Rolle spielt, wenn sie zur Produktivität beiträgt. Geht es nur um Sicherheit, Computer oder Infrastruktur, spielt sie schnell die Rolle eines technischen Dienstleisters, dem zu lange niemand zuhört.
Phishing-Simulationen oder -Trainings bleiben so oft nur ein lästiges Übel. Ein IT-Administrator muss daher Verbündete suchen und auf seine Seite ziehen. Geschäftsführer sind da nur eine erste, obgleich eine wichtige Adresse: Die Führungskräfte in einer Abteilung spielen als direkte Vorgesetzte ihrer Mitarbeiter eine wichtige Rolle.
Nicht abwegig, sondern effizient ist es zudem, gerade solche Mitarbeiter zu überzeugen, die im Unternehmen Einfluss und Autorität haben. Jeden Ansprechpartner wird man verschieden nehmen müssen.
- Die Risiken ansprechen, die dem Einzelnen schaden können
Wer Sicherheitsbewusstsein schaffen will, muss die Folgen von Angriffen ansprechen, die dem Individuum direkt schaden. Einem Geschäftsführer sollte eigentlich der Verweis auf Ausfälle von Systemen und damit der Produktion als Argument für mehr Sicherheit genügen. Vielleicht bedarf es aber mittlerweile weiterer Argumente wie etwa eine mögliche persönliche Haftbarkeit eines Unternehmenschefs.
Ransomware ist für viele eine abstrakte Gefahr, die so manch einer für sich selbst nicht in Betracht zieht. Augenscheinlicher ist es, sich vorzustellen, was es heißt, dass man seine Arbeit einfach nicht leisten, geschweige denn überhaupt anfangen kann. Einen Chief Financial Officer überzeugen dagegen eher die Implikationen und Kosten eines Sicherheitsvorfalls.
Ein Anstoß für Legal, Marketing, HR und Finance können verhängte Bußgelder aus dem Verstoß gegen DSGVO-Vorschriften sein. Den Mitarbeiter im Remote-Office überzeugt man von den Gefahren, die sich aus der Gemengelage privater und beruflicher IT im Home-Office ergeben – für das Unternehmen und für Ihn selbst.
- Verantwortung teilen
Alle müssen gemeinsam an der IT-Sicherheit arbeiten. Insofern ist es nur ein logischer Schritt, die Pflichten für Sicherheit auf alle Abteilungen zu verteilen. Es mag zwar altmodisch klingen, aber die hierzu notwendige Kommunikation erfolgt am besten Top-Down. Denn dies steigert die Wahrscheinlichkeit, dass sich die jeweiligen unterstellten Mitarbeiter an die neuen Vorgaben halten.
Am besten zeigen die IT-Zuständigen, wie menschliches Handeln die Sicherheit gefährdet und liefern konkrete Vorgaben, um dies zu verhindern: Etwa, um zu vermeiden, dass sie unternehmenskritische Daten oder bestimmte Assets offenlegen.
- Sicheres Verhalten verstärken statt Fehler bestrafen
Absolute IT-Sicherheit kann es nicht geben. Wenn durch einen Anwenderfehler Gefahren entstehen, gehen IT-Sicherheitsteams einem Vorfall am besten, ohne zu drohen und ohne Vorwürfe nach.
Mitarbeiter, die sich schämen, aus Angst vor Maßnahmen nicht die ganze Wahrheit sagen oder sogar den eigentlichen Vorgang vertuschen, können die Abwehr, das Eindämmen des Schadens und die Analyse verhindern. Sie werden ihr Verhalten nicht unbedingt ändern.
Anreize für sicheres Verhalten zu schaffen, ist auch auf Abteilungsebene eine wichtige Aufgabe. Mitarbeiter sind Menschen und sie reagieren daher auf Anreize. Wer den Schutz zum Beispiel digitaler Identitäten fördern will, kommt mit einem Identity Access Management einen wichtigen Schritt weiter.
- Anwenderorientierte Sicherheit
Jeder IT-Administrator passt seine IT-Abwehr an die ständig wechselnde Bedrohungslandschaft an. Ebenso wichtig ist es, dass die Abwehrlandschaft die Unternehmenskultur, die Arbeitsweise und damit auch die daraus entstehende besondere Gefahrenlage der Mitarbeiter berücksichtigt.
In der Folge weisen die Verantwortlichen für Cybersicherheit auf die besonderen Risiken etwa von Remote Work hin und suchen nach Hilfsmitteln, die Mitarbeiter gerne akzeptieren. Diese suchen nach Tools, die einfach sind und sich leicht bedienen lassen, die aber die Angestellten nicht überwachen:
Sicherheit im Remote Office lässt sich durch Mobile Device Management oder durch Software zum Überwachen von Mitarbeitern durchsetzen. Doch letzteres akzeptieren viele Angestellte nicht mehr, die damit ihre Work-Life-Balance gefährdet sehen. In Zeiten von Fachkräftemangel verliert ein solches Unternehmen vielleicht gerade die fähigen Mitarbeiter, die sich einen anderen Arbeitgeber suchen können.
- Akzeptierte Technologien statt Schatten-IT
Besser ist es, Mitarbeiter darin auszubilden, wie sie Remote Office oder Home Office absichern können, anstatt sie zu gängeln. Gerade bei kleinen und mittleren Unternehmen, die nicht unbedingt Technologie-affin sind, besteht noch Nachholbedarf.
Ein vom Unternehmen selbst beschaffter Passwort-Manager – und nicht einfach nur der von Google, der vielleicht noch beunruhigenderweise mit dem privaten Account verknüpft ist – oder ein eigenes professionelles VPN sprechen für das Unternehmen und schaffen zudem zusätzliche, kontrollierte und akzeptierte Sicherheit.
Das verhindert das Entstehen von blinden Flecken durch eine Schatten-IT – etwa, wenn ein Anwender unterwegs schlechte Erfahrungen mit der Kapazität der herkömmlichen Office-Kommunikationsmittel macht und seine private Dropbox für geschäftliche Inhalte nutzt.
Von Sicherheit überzeugen
Jede Cyberabwehr steht und fällt mit der Kollaboration der Mitarbeiter. Diese für sich zu gewinnen, ist ein entscheidender Faktor. IT-Technologie schützt gegen Angriffe – aber ebenso gesunder Menschenverstand gerade in den entscheidenden Situationen einer Spear-Phishing-Mail. Wer den Faktor Mensch vom Wert der Sicherheit überzeugt, beseitigt Risiken, beschleunigt die Abwehr und verbessert die Analyse von Sicherheitsvorfällen.