Menschen sind von Natur aus kooperativ. Wir fühlen uns wohl, wenn wir mit anderen zusammenarbeiten und gemeinsam Projekte erfolgreich abschließen. Diese Zusammenarbeit, dieses Gefühl der Gemeinsamkeit, erhöht die Stabilität und verringert die Reibung in einer Gesellschaft.
Gemeinsam an einem Strang zu ziehen, kann auch dabei helfen, für mehr Cybersicherheit im Unternehmen zu sorgen. Jedem Einzelnen klar zu machen, dass sich nur durch diese gemeinsame Verantwortung heutzutage Cyberbedrohungen noch unter Kontrolle halten lassen, ist jedoch eine andere Sache.
Um in die Lage zu kommen, der wachsenden Flut von Cyberangriffen standzuhalten, müssen Unternehmen das Bewusstsein wecken, dass Cybersicherheit in der Verantwortung jedes Einzelnen liegt. Dies in die Realität umzusetzen, erfordert jedoch viele Gedanken und Vorbereitungen.
Cybersicherheit ist nicht nur eine Frage der Technik
Angreifer sind immer auf der Suche nach bequemen Schlupflöchern. Warum sollten sie sich das Leben auch schwer machen? Dieses bequeme Schlupfloch kommt bei Cyberangriffsszenarien zur Geltung, wenn ein Mensch, in der Regel ein Mitarbeiter oder Geschäftspartner, die Tür zum Unternehmensnetzwerk öffnet.
Cyberkriminelle gelangen in der Regel mithilfe von Social-Engineering-Techniken und Phishing in das Netzwerk. Dort können sie sich an den Daten gütlich tun, Ransomware installieren und ein großes Chaos anrichten.
Forscher an der Stanford University fanden heraus, dass 88 % aller Sicherheitsverstöße auf menschliches Versagen zurückgingen, wobei viele Mitarbeiter ihre Fehler nicht zugeben wollten. Dem Bericht zufolge sind außerdem Phishing-E-Mails die Ursache für 25 % dieser Verstöße, wobei das Verhalten der Mitarbeiter mit Social-Engineering- und Psycho-Tricks manipuliert wurde, sodass sie auf den Phishing-Betrug hereinfielen.
Die Rolle, die menschliches Versagen bei Cyberangriffen spielt, wird dadurch verschlimmert, dass herkömmliche Sicherheitstools wie zum Beispiel Antivirenprogramme, erwiesenermaßen nur 50 % der Bedrohungen erkennen Angesichts dieses doppelten Unglücks von Social-Engineering und nicht zu 100 % wirksamen Sicherheitstechnologien ist den IT-Teams klar geworden, dass sie ihre Ressourcen auf ganzheitlichere Weise schützen müssen.
Sicherheitsprofis wissen, dass sie Cyberangriffen nur gewachsen sind, wenn sie Sicherheitsschulungen mit technischen Maßnahmen kombinieren und an erster Stelle für eine zuverlässige Durchsetzung der Richtlinien sorgen.
Letzten Endes trägt jeder Einzelne im Unternehmen einen Teil zum Aufbau der Schutzschicht gegen Cyberangriffe bei. Fünf zentrale Werte können die Verantwortung der Mitarbeiter im Unternehmen zementieren.
Mit fünf zentralen Werte ein Verantwortungsbewusstsein für die Cybersicherheit schaffen
Die Erkenntnis, dass Cybersicherheit in der Verantwortung jedes Einzelnen liegt und die Mitarbeiter bei wirksamen Cybersicherheitsstrategien eine zentrale Rolle spielen, führt zum Konzept der menschlichen Firewall. Diese Idee beruht darauf, dass die Mitarbeiter ein Schild gegen die auf sie abgerichteten Cyberbedrohungen sein können.
Sie sind das Ziel von Cyberkriminellen, die auf einfache Weise in das Unternehmen eindringen möchten. Wirksame und aktive Verantwortung wird nur übernommen, wenn Mittel zum Schutz vor gegen die Mitarbeiter gerichteten Angriffen vorhanden sind. Die Aufklärung der Mitarbeiter reduziert die Wahrscheinlichkeit eines erfolgreichen Angriffs.
Für eine zuverlässige menschliche Firewall ist ein Umdenken erforderlich. Durch diese geistige Umstellung entsteht eine Kultur der Cybersicherheit, die auf einer guten Sicherheitsausbildung beruht. Die Mitarbeiter und andere Betroffene erhalten die nötigen Hilfsmittel und Maßnahmen für den Umgang mit Phishing und anderen Betrugsmethoden wie zum Beispiel Business E-Mail Compromise (BEC).
Auch das National Institute of Standards and Technology (NIST) befürwortet dieses sicherheitsorientierte Denken. 2018 beschrieb NIST in der Publikation "Sicherheit ist jedermanns Aufgabe" fünf wichtige Werte mit zentraler Bedeutung für eine Cybersicherheitskultur, die NIST als „kritisch“ für erfolgreiche Cybersicherheitsmaßnahmen bezeichnete:
zentraler Wert – Denkweise
NIST zufolge ist eine Kultur der Cybersicherheit die Grundlage für die Durchsetzung einer sicherheitsorientierten Denkweise im gesamten Unternehmen. Dieser Eckstein der Unternehmenssicherheit schafft das Umfeld für einen verbesserten Schutz durch Achtsamkeit bei Tricks und Betrugsversuchen, die zu Datenverlusten, Ransomware und anderen Sicherheitsverstößen führen können.
zentraler Wert – Mitarbeiterführung
Die Verantwortlichkeit in Sicherheitsfragen muss von ganz oben vorgegeben werden, um die sicherheitsorientierte Denkweise hervorzurufen und durchzusetzen, die zur Bekämpfung von Cyberangriffen nötig ist.
Diese Führung der Mitarbeiter in Bezug auf die Sicherheit wird auch institutionalisiert. Gartner, Inc. prognostiziert, dass „bis 2025 40 % aller Vorstände ein spezielles Cybersicherheitskomitee einsetzen, das von einem Vorstandsmitglied geleitet wird.“ Die Führungskräfte sollten mit gutem Beispiel vorangehen und anderen als Vorbild und Modell für gutes Sicherheitsverhalten dienen.
zentraler Wert – Schulungen und Achtsamkeit
NIST konstatiert, dass die Durchführung von Sicherheitsschulungen ein fundamentaler Baustein eines sicheren Unternehmens ist. Wenn die Mitarbeiter über Social-Engineering-Tricks aufgeklärt und in der Wahrnehmung von Phishing-E-Mails geschult werden, können sie Cyberkriminellen „die Tür ins Gesicht knallen“.
zentraler Wert – Leistungsmanagement
Die Ziele eines Unternehmens müssen in Einklang mit den Leistungszielen der einzelnen Mitarbeiter stehen. NIST schlägt vor, unzureichendes Cybersicherheitsverhalten mit Anreizen und Sanktionen zu verbessern.
zentraler Wert – Verstärkung der technischen Maßnahmen und Richtlinien
Technische Maßnahmen wie die Multifaktor-Authentifizierung (MFA) und Passwortrichtlinien helfen, das korrekte Sicherheitsverhalten zu verstärken und durchzusetzen.
Cybersicherheit durch Cyberverantwortlichkeit
Für die Cybersicherheit ist jeder verantwortlich. Doch wer jemandem die Verantwortung für etwas gibt, muss ihm auch die Hilfsmittel geben, um die nötigen Maßnahmen zu ergreifen.
Der Entstehungsprozess eines Unternehmens mit hoher Cyberverantwortlichkeit beginnt mit der Schaffung einer Unternehmenskultur, in der die Sicherheit zur zweiten Natur wird. Menschen sind von Natur aus kooperative Wesen. Durch die Umsetzung der hier beschriebenen fünf zentralen NIST-Werte kann ein Gefühl der Verantwortlichkeit kultiviert werden.
Mit diesen Werten können Sie den Verantwortungssinn für die Cybersicherheit stärken und durchsetzen. Gleichzeitig geben Sie Ihren Mitarbeitern die Mittel an die Hand, dieser Verantwortung gerecht zu werden und gemeinsam gegen Social-Engineering-Angriffe vorzugehen.
