IT-Security umsetzen

Kulturelle Probleme mit der Cybersicherheit

02.01.2019
Von 


Marc Wilczek ist Autor zahlreicher Beiträge rund um die Themen digitale Transformation, Cloud Computing, Big Data und Security. Aktuell ist er Geschäftsführer beim IT-Sicherheitsanbieter Link11. Neben Managementstationen im Deutsche Telekom Konzern und bei CompuGroup Medical, leitete er zuvor unter anderem als Managing Director das Asiengeschäft beim IT-Sicherheitsexperten Sophos.
Nur wenige Unternehmen haben bisher Cybersicherheit in ihre Unternehmens-DNA integriert. Schlechte Kommunikation, mangelnde Investitionsbereitschaft und zu hohe Komplexität sind dabei die größten Hürden.
Beim Aufbau einer IT-Sicherheitskultur im Unternehmen kommt es auf mehrere Faktoren an. Planung, Führung, Investitionsbereitschaft und Kommunikationsstärke müssen ineinandergreifen.
Beim Aufbau einer IT-Sicherheitskultur im Unternehmen kommt es auf mehrere Faktoren an. Planung, Führung, Investitionsbereitschaft und Kommunikationsstärke müssen ineinandergreifen.
Foto: LongJon - shutterstock.com

Einige Unternehmen sehen Cybersicherheit noch immer alleine als IT-Thema, doch dies ist ein Trugschluss. Für HR und IT ist es unerlässlich, Hand in Hand zu arbeiten, um die Mitarbeiter in Sachen Security auszubilden und solide Richtlinien für Cybersicherheit zu erstellen. Beides zusammen soll Sicherheit in der Unternehmenskultur verankern.

Gelebte Sicherheitskultur braucht Führung und Investitionen

Laut dem Cybersecurity Culture Report (PDF) der Information Systems Audit and Control Association (ISACA) und dem CMMI Institute geben neun von zehn Organisationen (95 Prozent) an, dass ihre aktuellen Fähigkeiten bezüglich Cybersicherheit nicht denen entsprechen, die sie gerne hätten.

In einer Umfrage unter rund 4.800 Geschäfts- und Technologieexperten sagen nur fünf Prozent von ihnen, dass die Cybersicherheitskultur ihrer Unternehmen ausreicht, um sie vor Bedrohungen von innen und außen zu schützen. Überwältigende 87 Prozent der Befragten sind der Meinung, dass die Einführung einer stärkeren Kultur der Cybersicherheit die Profitabilität oder Lebensfähigkeit ihres Unternehmens steigern würde.

Eine Cybersicherheitskultur integriert laut Definition des CMMI die IT-Sicherheit in jeden Aspekt des Betriebs eines Unternehmens. Anstatt Cybersicherheit als Kostenfaktor oder Nebensächlichkeit abzutun, betten digital zukunftsorientierte Unternehmen sie tief in ihre DNA ein. Sie sehen zuverlässigere, sicherere und vertrauenswürdigere Dienste als Differenzierungsfaktor gegenüber dem Wettbewerb.

ISACA stellte fest, dass in Unternehmen, in denen die Mitarbeiter stark in der Cyber-Sicherheit engagiert sind, 92 Prozent der Befragten sagen, dass ihre Führungskräfte über ein ausgezeichnetes Wissen über potenzielle Cybersicherheitsprobleme verfügen und es teilen. Die Studie kommt zu dem Schluss, dass es einen positiven Korrelationseffekt zwischen der unternehmensweiten Beteiligung der Mitarbeiter und der Zufriedenheit der Unternehmen mit ihrer Cybersicherheitskultur gibt.

Tatsächlich geben Unternehmen, die sich von ihrer idealen Sicherheitskultur weit entfernt fühlen, 19 Prozent ihres Cybersicherheitsbudgets für Tools und Schulungen aus. Diejenigen, die aufmerksamer auf die Cybersicherheit achten und sie unterstützen, geben weitaus mehr (43 Prozent) für Tools und Schulungen zur Verbesserung der Kenntnisse und des Engagements der Mitarbeiter aus.

Komplexe Richtlinien sind sinnlos

Hat ein Unternehmen eine Cybersicherheitspolitik, bedeutet das jedoch nicht, dass sich die Mitarbeiter auch daran halten. Wie das Forschungsunternehmen Clutch feststellte, schenkt fast die Hälfte (47 Prozent) der 1.000 befragten Beschäftigten der Cybersicherheitspolitik ihrer Arbeitgeber keine große Aufmerksamkeit.

Die meisten Mitarbeiter (64 Prozent) verwenden ein vom Unternehmen zugelassenes Gerät für die Arbeit, aber nur 40 Prozent davon sollen sich an Regeln für die Verwendung von persönlichen Geräten halten. Verwenden Mitarbeiter eigene Geräte für berufliche Angelegenheiten, setzen Sie das Unternehmen allen Arten von Cyber-Risiken aus. Praktisch alle Mitarbeiter (86 Prozent) überprüfen E-Mails und mehr als zwei Drittel (67 Prozent) greifen über ihre Geräte auf gemeinsame Dokumente zu. Viele davon verfügen nicht über den erforderlichen Schutz, um Hacker und andere Internet-Eindringlinge auszuschließen.

Ein Hauptgrund, warum interne Cybersicherheitspraktiken mitunter ineffektiv sind, liegt darin, dass sie zu zahlreich, unverständlich und komplex sind. Maarten Van Horenbeeck, vertritt in einem Artikel in der Harvard Business Review die Ansicht, dass einige dieser Regeln oft nicht funktionieren, weil sie einfach zu komplex sind und Menschen dazu bringen, Abkürzungen zu nehmen. Für ihn sind Bildung, Benutzerfreundlichkeit und Vereinfachung die drei wesentlichen Erfolgsfaktoren.

Daher reicht es nicht aus, eine Richtlinie zu haben. Unternehmensweite Kommunikation und sorgfältige Schulungen sind angesichts eskalierender Sicherheitsverletzungen notwendiger denn je. Aber das Training muss leicht verdaulich und nachvollziehbar sein.

Fazit

Mitarbeiter sind bereit, Best Practices zur Cybersicherheit auch über die Grenzen der Unternehmensrichtlinien hinaus zu befolgen. Aber wenn Unternehmen ihre Sicherheitsrichtlinien nicht in einer Weise kommunizieren, mit der die Mitarbeiter etwas anfangen können, oder wenn ihre Richtlinien die täglichen Arbeitsprozesse schwerfälliger oder problematischer machen, tendieren sie eher zu riskantem Verhalten.

Unternehmen müssen ihren Cybersicherheitsansatz neu kalibrieren, von technologiebasierten Abwehrmaßnahmen bis hin zu proaktiven Maßnahmen, die Prozesse und Ausbildung umfassen. Es braucht Fokussierung, Engagement sowie intelligente und zukunftsorientierte Führungskräfte, um Cybersicherheit zu einer festen Säule der Unternehmensagenda zu machen.

Darüber hinaus wird die IT-Abteilung mit den Informationen und Werkzeugen ausgestattet, um ihre Sicherheitsschulungen und -tests auf die Bedürfnisse der Mitarbeiter abzustimmen und weiterzuentwickeln. Solche Teamarbeit innerhalb des Unternehmens ist der einzige Weg, die Gewohnheiten der Menschen zu ändern und einen sinnvollen Unterschied beim Schutz von Unternehmen vor einer sich schnell entwickelnden Cyber-Bedrohungslandschaft zu machen.