Die zahlreichen Meldungen über Hackerangriffe haben sich mittlerweile bis zum kleinsten Betrieb herumgesprochen und das Bewusstsein, mit Firmendaten sorgfältig umzugehen, ist in den vergangenen Jahren deutlich besser geworden, beobachtet David Scribane, Experte für Cyber-Awareness und Referent an der Bochumer isits AG - International School of IT Security.
Wenn es darum geht, Mitarbeitende für Sicherheitsthemen zu sensibilisieren, gibt Scribane CISOs und IT-Sicherheitsverantwortlichen den Tipp, "zuerst die Führungskräfte an Bord zu holen". Seiner Erfahrung nach würden immer noch viele Chefs als auch Mitarbeitende meinen, Informationssicherheit sei ein IT-Thema. Doch der Schutz von Unternehmens- und Kundendaten betrifft alle Beschäftigten.
Der Chef trägt die Verantwortung
Deshalb sei es wichtig, so Scribane, den Führungskräften zu erläutern, welche Verantwortung sie für den Schutz der Daten trugen. Denn meistens sind diese selbst die Daten- und Prozess-Owner und haften bei Sicherheitsvorfällen, nicht die IT. Natürlich erwarte der Isits-Dozent nicht, dass sich die Chefs vor ihre Mitarbeitenden stellten und nun Security-Kurse abhielten. Sie sollten aber für solche Maßnahmen werben. Denn sie würden den Stallgeruch ihrer Abteilungen kennen, genauso wie den Arbeitsalltag und seien in der Lage, in der jeweiligen Sprache der Fachabteilung zu erläutern, welche Auswirkungen die Informationssicherheit auf den jeweiligen Fachbereich habe.
Führungskräfte müssen Sicherheitsmaßnahmen verstehen
"Der Idealfall ist, wenn der CEO das Thema treibt", weiß Scribane. Es gebe aber weiterhin genug Firmen, in denen diese Erkenntnis noch nicht ganz oben angekommen sei. Er selbst führt Workshops mit Führungskräften durch. In den zwei- bis vierstündigen Seminaren legt er dar, wie wichtig der Informationsschutz für das Überleben des Unternehmens ist. In seinem bisher erfolgreichsten Kurs saßen Verantwortliche aus Fachbereichen zusammen und erarbeiteten, warum welche Abteilung welche Sicherheitsmaßnahmen benötigt, wie firmenübergreifende kommunikative Maßnahmen auszusehen haben oder eine Awareness-Planung zu organisieren ist.
Aus seiner Erfahrung sei es wichtig, "das Sicherheitsthema permanent sichtbar zu halten und Aufmerksamkeit zu erzeugen". Was gut funktioniere, seien Phishing-Simulationen. Dabei werden Mitarbeitenden in unregelmäßigen Abständen gefälschte E-Mails zugestellt, um zu lernen, keine Makros zu aktivieren oder auf gefälschten Anmeldeportalen Zugangsdaten einzugeben. Bewährt hätten sich auch maximal einstündige Webinare, in denen einzelne Themen abgehandelt würden, etwa: Wie schütze ich die Daten meiner Firma im Home-Office? Oder: Wie gehe ich mit mobilen Geräten im halböffentlichen Raum um?
Scribane hat zwei einfache und effektive Tipps für Führungskräfte, wie sie das Thema Informationssicherheit im Unternehmen verankern können:
Sie sollen Vorbild sein. Wenn Chefs andere Privilegien haben als Mitarbeitende, zum Beispiel, in dem sie sämtliche-Cloud-Dienste nutzen dürfen, oder Endgeräte erhalten, die Mitarbeitenden nicht gestattet werden, könnte das die Stimmung ordentlich trüben. Auch Führungskräfte sollten nur über die Zugänge verfügen, die für ihre tägliche Arbeit zwingend erforderlich sind.
Außerdem sollten sie Vertrauenspersonen für ihre Mitarbeitenden sein, diese in keinster Weise verurteilen, wenn was passiert ist. Scribane weiß, wie perfide Hackerangriffe sein können, deshalb sei es so wichtig, dass Chefs das Vertrauen der Mitarbeiter gewinnen, damit diese sich künftig nicht scheuen, Sicherheitsvorfälle zu melden.
Natürlich sei das insgesamt ein Thema der Fehler- und letztlich der Unternehmenskultur. "Wenn keine Vertrauens- und Fehlerkultur existiert, sind Angreifer viel erfolgreicher", schlussfolgert Scribane. Und wie sich die Empfehlungen von Scribane am besten umsetzen lassen und noch viele weitere Tipps rund um Sicherheitsthemen, können Teilnehmer in Kursen an der isits AG - International School of IT Security erwerben.