No Glory in Prevention – die undankbare Rolle der CISOs

Die Professionalisierung von Cyberkriminellen und das weiterhin steigende Bedrohungsrisiko führen dazu, dass die Rolle von IT-Security-Fachleuten immer wichtiger wird. Aber: Eine Sicherheitskultur im Unternehmen aufzubauen, ist für IT-Abteilungen eine mühselige Aufgabe. In vielen Firmen sehen Angestellte die Verantwortung für sicheres Verhalten am Arbeitsplatz nicht bei sich und lassen sichere Verhaltensweisen (unbewusst) schleifen. Um die Cyber-Resilienz von Unternehmen zu steigern, wollen IT-Security-Verantwortliche gerne in den menschlichen Faktor investieren. Sie stossen dabei auf Widerstand in der Geschäftsleitung, die IT-Sicherheit als reinen Kostenfaktor betrachtet. Dass die Rolle von CISOs undankbar sein kann, hat aber noch weitere Gründe. Denn IT-Security-Verantwortliche agieren als unsichtbare Helden. Solange die IT läuft, werden die Anstrengungen gerne übersehen. Unsichtbare Helden geraten erst ins Rampenlicht, wenn etwas schiefgeht. Kommt es also zu einem IT-Notfall, zeigen die Finger schnell auf den CISO.

Das Dilemma der CISOs

Unternehmen müssen die Geschäftsführung und Mitarbeitende zum aktiven Teil der Cybersecurity machen. Ihr Verhalten hat entscheidenden Einfluss auf die IT-Sicherheit und kann Cyberangriffe bereits im Vorfeld verhindern.  Daher ist es zwingend erforderlich, dass sich die Perspektive auf die IT-Security ändert. Nur so verinnerlicht die Belegschaft, sichere Passwörter zu nutzen oder verdächtige E-Mails zu melden. Folgende Lösungsansätze helfen CISOs dabei, dass Cybersecurity nicht länger als Randthema gesehen wird:

1. Die Sprache der Geschäftsführung sprechen

Die Kommunikation zwischen IT-Sicherheitsverantwortlichen und der Geschäftsführung entscheidet darüber, wie effektiv IT-Sicherheitsmassnahmen umgesetzt werden können. Und ohne den Support der Führungskräfte kann IT-Security nicht erfolgreich sein. ­Daher ist es wichtig, technische Details in Business-Sprache zu übersetzen. Wie wirken sich die Security-Investitionen auf die ­Geschäftskontinuität, den Ruf des Unternehmens oder die finanziellen Aspekte aus? Mit dieser Herangehensweise kommt die ­IT-Security von einer reaktiven in eine proaktive Position im ­Unternehmen.

2. Den Wert der Arbeit messbar machen

Wie lässt sich Sicherheitsbewusstsein messen? Moderne Security-­Awareness-Plattformen veranschaulichen mithilfe von Dashboards, wie sich das Sicherheitsbewusstsein der Mitarbeitenden verändert. Und mit einer Phishing-Simulation lässt sich messen, ob die Melderate verdächtiger E-Mails nach oben geht und gleichzeitig weniger Daten auf Fake-Seiten eingegeben werden.

3. Sicherheitskultur: kooperativ einfühlsam vs. streng ­restriktiv

Eine positive Sicherheitskultur ist vor allem durch eine kooperative und einfühlsame Haltung geprägt. Die Belegschaft hat verstanden und verinnerlicht, warum sie sich wie verhalten soll. Der entgegengesetzte Weg wäre eine restriktive und strenge Sicherheitspolitik. Diese verstärkt allerdings den Ruf der IT-Security-Abteilung als Hürde der effizienten digitalen Arbeit.

« IT-Security darf kein Randthema ­bleiben »

Mit IT-Sicherheitsschulungen machen Unternehmen ihre Angestellten zu Verbündeten gegen Cyberkriminelle. Cornelia Lehle, Head of Sales DACH bei G Data Cyberdefense, erklärt, warum Firmen eine umfassende Sicherheitskultur benötigen und welche Rolle Security Awareness Trainings dabei spielen. Interview: Coen Kaat

Wie kann man die unsichtbaren Helden der IT-Security auf eine positive Weise ins Rampenlicht rücken?

Cornelia Lehle: Zunächst muss sich die Perspektive auf IT-Security ändern, denn angesichts der aktuellen Bedrohungslage darf das kein Randthema bleiben. Dafür müssen Geschäftsführer ihre Teams von der elementaren Bedeutung von IT-Sicherheit überzeugen und das Thema auch vorleben. Helfen können auch Phi­shing-Simulationen, mit denen sich das Sicherheitsbewusstsein der Angestellten messen lässt.

Wie baut man eine Sicherheitskultur in Unternehmen auf?

Das funktioniert nur, wenn Verantwortliche den menschlichen Faktor in die IT-Sicherheitsstrategie einbeziehen. Ein Unternehmen hat erst dann die nötige Sicherheit, wenn Geschäftsführung und Mitarbeitende ein aktiver Teil der Cybersecurity sind. So schützen Angestellte nicht nur ihren Arbeitsplatz, sondern das ganze Unternehmen.

Wie können Security Awareness Trainings dabei helfen?

Mit Security Awareness Trainings werden Mitarbeitende zu Verbündeten im Kampf gegen Cyberkriminelle, weil sie das Bewusstsein für aktuelle Cybergefahren schärfen. Aber Pflichtschulungen mit Frontalvorträgen sorgen nicht für mehr IT-Sicherheit. Trainings müssen Spass machen und motivieren. So lässt sich sicheres Verhalten positiv besetzen. Dafür braucht es ein didaktisches Konzept, mit dem Angestellte spielerisch, charakter- und storybasiert nachhaltig lernen, richtig auf Cybergefahren zu reagieren. Denn nur dann setzen sie das Gelernte auch entsprechend um und handeln richtig, wenn etwa eine Phishing-Mail in ihrem Postfach landet.

Wie sollten derartige Awareness Trainings optimal aufgebaut sein?

Grundsätzlich sind die IT-Sicherheitskompetenzen von Angestellten in Unternehmen sehr heterogen und reichen von wenig Wissen bis zum Expertenwissen – je nach Ausbildung und Einsatz­gebiet. Damit die gesamte Belegschaft eines Unternehmens den gleichen Wissensstand über Cybergefahren hat, wenden wir bei G Data Cyberdefense ein dreistufiges System an. Unsere Security Awareness Trainings schicken Teilnehmende auf eine Lernreise mit drei Stufen – von grundlegendem Wissen zu digitaler Sicherheit bis hin zum Experten-Level. Jedes Level umfasst dabei vier bis sechs Trainingseinheiten in einer festgelegten Reihenfolge. Die Lernpläne sorgen für tiefgreifendes und nachhaltiges Wissen rund um IT-Sicherheit.

Welche Rolle spielt der Channel bei der Vermarktung und ­Umsetzung solcher Trainings?

Im Kampf gegen Cyberbedrohungen müssen Unternehmen eine ganzheitliche IT-Sicherheitsstrategie umsetzen. Dazu gehören neben State-of-the-Art-Technologien auch Security Awareness Trainings. Reseller nehmen dabei eine zentrale Rolle ein, wenn sie Unternehmen unterstützen, indem sie die Verantwortlichen von der Sinnhaftigkeit überzeugen und IT-Sicherheitsschulungen implementieren. Des Weiteren bieten wir für unsere Partner auch White-Label-Lösungen an.

>>Hier mehr zum Thema awareness.