Die Cybersicherheit ist in Unternehmen wichtiger denn je. Der erste Schritt ist hierbei den Handlungsbedarf zu erkennen, denn schon mit einfachen Mitteln können sich Unternehmen vor einer Vielzahl von Attacken schützen, indem sie ihre Mitarbeiter für das Thema sensibilisieren.
Die Corona-Krise hat Homeoffice über Nacht zur Normalität werden lassen. Unzählige Arbeitnehmer waren und sind gezwungen, von einem Tag auf den anderen ihren gewohnten Arbeitsplatz im Büro gegen den eigenen Schreibtisch zuhause einzutauschen. Das Thema Cyber Security spielte dabei zugunsten der Business Continuity im ersten Moment zunächst eine untergeordnete Rolle – darf aber auch in dieser Zeit des New Normals nicht zu kurz kommen.
Die gegenwärtigen Entwicklungen könnten es nicht deutlicher zeigen: das Social Distancing treibt die Arbeitnehmer ins Homeoffice. Damit geht einher, dass nun auch vermehrt private Geräte in die berufliche Kommunikation eingebunden sind – der Perimeter und die Angriffsfläche der Unternehmens-IT haben sich vergrößert.
Weil Arbeitnehmer oft nicht das technische Know-how über Schutzmaßnahmen auf Unternehmensniveau haben, entstehen Lücken in den Schutzmauern des Unternehmens. Das wissen Angreifer: Phishing-Mails und Berichte über das Ausnutzen üblicher Schwachstellen des Heimbüros mehren sich. Im Fall der Fälle haben die Angreifer über ein kompromittiertes Privatgerät Zugriff auf das Unternehmensnetzwerk.
Obwohl viele Unternehmen sich bereits mit Cyber Security beschäftigen, fehlt es häufig an der strategischen Ausrichtung der Security-Awareness-Maßnahmen. Doch die unternehmenseigene Sicherheitskultur funktioniert nur, wenn Sicherheit als Grundgedanke im Unternehmen verankert wird. Der nachfolgende Artikel stellt wichtige Sicherheitsmaßnahmen vor und gibt Hinweise zur Einführung einer funktionierenden Sicherheitskultur im Unternehmen.
Schritt 1: Handlungsbedarf erkennen
Zu Beginn steht immer eine Bestandsaufnahme zur Positionsbestimmung an: Welche Richtlinien, Tools und Prozesse zur IT-Sicherheit sind vorhanden und wie aktuell sind diese? Welche Metriken (Key Compliance Indicators) eignen sich, um das Sicherheitsniveau zu messen? Welches IT-Sicherheits-Know-how lässt sich im Verhalten der Mitarbeiter bereits erkennen?
Um die Bestandsaufnahme zu komplettieren und später den Erfolg der zu ergreifenden Maßnahmen messbar zu machen, können eine Reihe von Messpunkten herangezogen werden. Bei internen Phishing-Simulationen werden Angriffe inszeniert, die sich von einem echten Phishing-Angriff kaum unterscheiden lassen. Dabei versuchen die Angreifer, durch Phishing-Mails an die Login-Daten der Betroffen zu gelangen.
Der USB-Drop bezeichnet das Platzieren eines programmierten USB-Gerätes. Ziel ist es, dass dieses USB-Gerät seinen Weg an den Computer eines Mitarbeiters findet. Das Eindringen in Firmennetze durch Kriminelle mittels USB-Gerät ist immer noch sehr erfolgreich, da die Neugierde der Betroffenen oft zu groß ist. Gegenüber diesen Methoden ist der Floor-Walk meist einfach und schnell als Messmedium umzusetzen. Hierbei wird bspw. ein Clean-Desk-Audit oder Locked-Screen-Check vorgenommen und Ergebnisse können entsprechend schnell generiert werden.
Ein umfassenderes Bild geben auch andere Kontroll-Maßnahmen wie Penetrationstests oder der Abgleich von Listen gehackter Passwörter mit den von den Mitarbeitern verwendeten Windows-Passwörtern.
Schritt 2: IT-Sicherheits-Strategie definieren
Nach der Bestandsaufnahme muss eine IT-Sicherheits-Strategie erarbeitet und ein passendes Awareness-Programm konzipiert werden. Hier gilt es, drei Strategiestufen zu beachten:
Strategiestufe 1: Sicherheit auf dem Papier
Grundlage für alle weiteren Schritte ist die transparente Vorgabe und Kommunikation darüber, welches Verhalten erlaubt bzw. verboten und welches Verhalten erwünscht bzw. unerwünscht ist. Dazu sind abgestimmte, moderne IT-Sicherheits- und Datenschutzrichtlinien notwendig. Hilfreich sind zudem der Einsatz von E-Learning-Tools und interne Kommunikationskampagnen, um Wissen zu vermitteln und die nötige Awareness zu schaffen.
Strategiestufe 2: Sicherheit im Verhalten
Sicherheit muss so in Tools, Prozesse und in der Organisation implementiert werden, dass sicheres Verhalten nicht nur erwünscht, sondern auch tatsächlich umsetzbar ist. Sicheres Verhalten muss ein einfacher und bequemer Ablauf werden. Zielgruppenspezifische Trainings (z. B. gegen den CEO-Fraud) unterstützen die gewünschte Verhaltensänderung. Und nicht zuletzt müssen diese Änderungen auch sichtbar und die Wirksamkeit der implementierten Maßnahmen überprüft werden. Dazu müssen Kontrollen durchgeführt bzw. die Compliance Indikatoren gemessen werden, z. B. mit den bei der Bestandsaufnahme beschriebenen Metriken.
Strategiestufe 3: Sicherheit als kultureller Wert
Als dritte Stufe sollte Sicherheit als kultureller Wert im Unternehmen platziert werden. In dieser Phase muss sich das Unternehmen positionieren und organisieren. Ziel ist es, pro-aktives, intrinsisches, gemeinschaftliches Verhalten zu fördern. Es ist entscheidend, welche Fehlerkultur das Unternehmen lebt und wie Insider Threats, also Bedrohungen durch bösartige oder frustrierte Mitarbeiter, verhindert werden können. Multiplikatoren müssen sichtbar, erreichbar und vertrauenswürdig sein. Und all das muss mit Freude an der Arbeit passieren – für die Millenials am besten auf spielerische Art und Weise (Gamification).