IT-Sicherheit

Wie Unternehmen Mitarbeitende für Cyber-Risiken sensibilisieren können

Uhr
von Rodolphe Koller und Übersetzung: Eric Belot

Da Mitarbeitende die erste Verteidigungslinie bei der IT-Sicherheit sind, haben viele Unternehmen Massnahmen zur Entwicklung der Fähigkeiten und der Cyber-Kultur ihrer Mitarbeitenden ergriffen. Allerdings widmen sich IT-Spezialisten selten dem Thema menschliches Risiko und verfügen selten über die notwendigen Soft Skills dafür.

Die Cyberbedrohung für Unternehmen nimmt zu. (Source: rawpixel.com/freepik.com)
Die Cyberbedrohung für Unternehmen nimmt zu. (Source: rawpixel.com/freepik.com)

Das Risiko für Cyber-Angriffe hat sich während der Pandemie durch Homeoffice und die Notwendigkeit, etablierte Sicherheitsrichtlinien manchmal in Eile zu umgehen, erhöht. Laut einer Fujitsu-Studie glaubt die Mehrheit der Berufstätigen, dass sie durch die Arbeit von zu Hause aus ein stärkeres Bewusstsein für Cyber-Bedrohungen für ihr Unternehmen entwickelt haben.

Mitarbeitende sind nicht das schwächste Glied in der Cybersicherheit, sondern die erste Verteidigungslinie für Unternehmen. Die meisten Cyber-Angriffe – beispielsweise durch Ransomware – beginnen mit einem Phishing-Versuch. Oft erfolgt dieser mit einem Link oder einer Datei, die von einem unvorsichtigen oder in Sachen Cyber unzureichend informierten, geschulten Benutzer geöffnet wird.

Es überrascht daher nicht, dass die Sensibilisierung und Entwicklung der Mitarbeiterfähigkeiten und der Cyber-Kultur auf der Agenda der meisten Unternehmen steht. Schweizer Organisationen bilden da keine Ausnahme: 57 Prozent der in diesem Frühjahr von ICTjournal befragten CIOs sehen darin eine hohe Priorität und sogar die oberste organisatorische Priorität im Jahr 2021 (siehe Grafik).

Fortschritte, aber auch Mängel

Laut einer SANS-Studie gibt es nur wenige Unternehmen, die nicht bereits über ein Programm zur Sensibilisierung für Cyberrisiken verfügen. Solche Initiativen werden immer ausgereifter: In der Hälfte der Fälle werden die Programme fortlaufend durchgeführt und zielen auf eine Änderung des Nutzungsverhaltens ab, sowohl in Bezug auf die Prävention als auch auf die Meldung von Vorfällen. Einige Unternehmen wollen noch weiter gehen und Programme einsetzen, die jährlich auf der Grundlage gemessener Fortschritte überarbeitet werden, und mit einer echten Integration menschlicher und technischer Aspekte in die Cybersicherheitsbemühungen.

Trotz dieser Fortschritte ist das Bewusstsein der Anwender für Cyber-Risiken nach wie vor ungenügend. Laut zwei aktuellen Umfragen von Fujitsu und SANS gibt es zwei grosse Lücken in den Programmen: einerseits das Profil derjenigen, die für die Erweiterung des Bewusstseins für solche Risiken verantwortlich sind, und andererseits das Fehlen von Mitarbeitenden, die sich ausschliesslich dieser Aufgabe widmen.

Mehr Soft Skills benötigt

Die SANS-Umfrage zeigt, dass mehr als 80 Prozent der Mitarbeitenden, die für das Bewusstsein für solche Cyber-Risiken zuständig sind, einen rein technischen Hintergrund haben. Sie sind hauptsächlich im Bereich IT oder Cybersicherheit tätig. Dem Bericht zufolge besteht die Gefahr, dass diese technischen Profile eine verzerrte Wahrnehmung darauf haben, was die Geschäftsanwender (Marketing, HR, Finanzen usw.) erleben. Und diese machen die Mehrheit der Mitarbeitenden aus. Die Fujitsu-Studie zeigt, dass sich beispielsweise kaufmännische Mitarbeitende weniger informiert fühlen und bei potenziellen Gefahren eher Alarm schlagen als technische Fachkräfte.

Auch bei der Wahrnehmung der eingesetzten Awareness- und Schulungsmaßnahmen gibt es Unterschiede. Beispielsweise halten nicht-technische Anwender Schulungen für weniger effektiv als Spezialisten, aber schätzen dafür Gamification-Tools oder die Verwendung von Beschilderungen, die sie an gute Praktiken im Büro erinnern, umso mehr (siehe Grafik).

Für die Autorenschaft der SANS-Befragung ist es sinnvoll, technische Spezialistinnen und Spezialisten mit der Schaffung eines Bewusstseins für Cyber-Risiken zu betrauen. Sie knüpfen dies aber an die Bedingung, dass diese ihre Soft Skills in Kommunikation und Überzeugungskraft entwickeln. Diese Fähigkeiten könnten sie auch von ihren Marketing- und HR-Kolleginnen und -Kollegen erwerben. Dies sehen die Verfasser der Befragung auch als eine Möglichkeit, den "Fluch des Wissens" abzuschwächen: die kognitive Voreingenommenheit, anzunehmen, dass andere über das gleiche Wissen verfügen wie sie, um etwas zu verstehen.

Vollständig der Cybersicherheit gewidmete Ressourcen nötig

Zusätzlich zum Problem der Voreingenommenheit der Sicherheits-Spezialistinnen und -Spezialisten in puncto Wissensstand ihrer Mitarbeitenden besteht auch das Problem, dass Sensibilisierungsprogramme unterfinanziert sind. Laut der SANS-Studie fehlt es den Mitarbeitenden, die mit der Sensibilisierung zum Thema Cybersicherheit betreut sind, an Zeit, Ressourcen und Budget (siehe Grafik unten). In der Regel haben sie andere Aufgaben innerhalb der Organisation: Drei Viertel von ihnen verbringen weniger als die Hälfte ihrer Zeit mit der Sensibilisierungsarbeit. Angesichts der Bedrohung ist es wahrscheinlich, dass die Bewusstseinsbildung in ihrer Agenda oft in den Hintergrund rückt.

Laut den Autoren der SANS-Befragung sollte eine Organisation, unabhängig von ihrer Grösse, mindestens eine Person im Sicherheitsteam haben, die sich ausschliesslich mit den Themen der Sensibilisierung und des menschlichen Risikos beschäftigt. Es ist eine Rolle, die in vielen Unternehmen noch geschaffen werden sollte. Personen mit diesen Aufgaben sind nicht nur für die Sensibilisierung zuständig, sondern auch für die Unterstützung bei der Identifizierung, der Verwaltung und Messung menschlicher Risiken sowie für die Vereinfachung der Anweisungen und Verfahren, die das Sicherheitsteam für den Rest der Organisation bereitstellt. Die neu zu schaffende Position bräuchte auch einen entsprechenden Titel, zum Beispiel Human Risk Officer oder Cyber Awareness and Culture Manager. Damit sollten die Unternehmen die hohe Bedeutung, die sie der Cybersicherheit bemessen, verdeutlichen.

Übrigens: Das NCSC hat eine Umfrage zur Anlaufstelle für Cybersicherheit lanciert. Dazu befragt das Zentrum Privatpersonen sowie KMU. Anhand der Ergebnisse soll das Angebot der Anlaufstelle verbessert werden. Mehr dazu können Sie hier nachlesen.

Webcode
DPF8_221316