Trotz der enormen Budgets und Ressourcen, die in die Cybersicherheit investiert werden, sind Sicherheitspannen immer noch an der Tagesordnung – mit immer größeren Auswirkungen. Bei der Analyse dieser Vorfälle gibt es einen gemeinsamen Faktor: Die technischen Sicherheitsmechanismen werden durch menschliches Handeln untergraben.
Mitarbeiter geben beispielsweise Anmeldedaten weiter, behandeln unbefugte Anfragen, fallen auf gefälschte E-Mails herein oder führen Malware im Auftrag eines Kriminellen aus.
Laut Weltwirtschaftsforum können 95 Prozent aller Cybersicherheitsprobleme direkt auf menschliches Handeln zurückgeführt werden. Das verdeutlicht das Ausmaß des Problems und macht klar, dass ein hohes Sicherheitsbewusstsein des Personals hohe Priorität für Unternehmen haben muss. Auf diesem Gebiet wurde zwar schon einiges erreicht, aber noch längst nicht genug.
Es sind vor allem drei miteinander verbundene Dinge, die viele IT-Sicherheitsprogramme beeinträchtigen. Zum Glück gibt es verhältnismäßig einfach zu befolgende Ratschläge, um diese Beeinträchtigungen zu beheben.
Ratschlag #1: Verpassen Sie dem Programm einen besseren Namen
So einfach es auch klingt, Sie haben Ihr Sicherheitsprogramm vielleicht falsch benannt.
Wir haben Bedenken wegen des Sicherheitsbewusstseins der Belegschaft und erstellen entsprechende „Sicherheitsbewusstseinsprogramme“. Eigentlich aber streben wir keine Bewusstseinsveränderung an, sondern eine Verhaltensänderung. Die des Begriffs „Sicherheitsbewusstsein“ verleitet dazu, sich auf das falsche Ergebnis zu konzentrieren. Wenn das Ziel darin bestünde, Menschen das Rauchen abzugewöhnen, würden wir unsere Kampagne auch nicht als „Kampagne zur Sensibilisierung für die Risiken des Rauchens“ bezeichnen.
Das Problem ist leicht zu beheben: Ändern Sie den Namen Ihres Programms. Entscheiden Sie sich für das tatsächliche Ergebnis, das Sie anstreben, und benennen Sie das Programm entsprechend: „Änderung des Sicherheitsverhaltens“, „Programm zum Aufbau einer Sicherheitskultur“ usw. Sie werden erstaunt sein, einen wie großen Unterschied eine so kleine Änderung bewirken kann, denn der neue Titel lenkt die Aufmerksamkeit immer wieder auf das, was Sie wirklich erreichen wollen.
Ratschlag #2: Lernen Sie das ABC und setzen es um
Der zweite Fehler hängt mit dem ersten zusammen. Allzu oft beschließen Unternehmen, dass sie ihre IT-Sicherheitskultur ändern können, indem sie die Anzahl der entsprechenden Schulungen für die Mitarbeiter erhöhen. Das wird nicht funktionieren. Kultur ist keine Frage von „mehr Aufmerksamkeit“
Ich verwende gern das „ABC“-Reifegradmodell aus dem englischsprachigen Raum. Die Buchstaben stehen für Awareness (Bewusstheit), Behaviour (Verhalten), Culture (Kultur). Jeder Schritt baut auf dem vorhergehenden auf. Entscheidend ist, dass es bei jeder Stufe einen Umschlagpunkt gibt – eine sichtbare Änderung des Verhaltens, die für den Übergang von einer Stufe zur nächsten erforderlich ist.
Nehmen wir an, dass wir bereits Bewusstheit erreicht haben. Um zum Verhalten überzugehen, müssen Sie sich darauf konzentrieren, dass die Mitarbeiter die persönlichen und beruflichen Konsequenzen der Cybersicherheit verstehen. Sind die Mitarbeiter erst einmal sensibilisiert und motiviert, ist es viel wahrscheinlicher, dass sie das richtige Verhalten an den Tag legen. Dieser vereinfachte Ansatz ist wird von Wissenschaftlern wie Professor BJ Fogg untermauert.
Sobald eine Verhaltensänderung erreicht ist, wird die Adaption der Sicherheitskultur zum Ziel. Der Kernpunkt für die Kultur ist die Schaffung einer weitreichenden Wahrnehmung, dass jedem im Unternehmen die Sicherheit wichtig ist (Das Wort „Wahrnehmung“ verwende ich bewusst. Anfangs muss die Wahrnehmung nicht der Realität entsprechen. Es handelt sich um einen echten Fall von „Fake it till you make it“.). Schaffen Sie diese Wahrnehmung, indem Sie Ihren Kommunikationsplan so abstimmen, dass die Sicherheitsbotschaften im gesamten Unternehmen ankommen – von den Führungskräften, den Rezeptionsmitarbeitern und vor allem von den mittleren und unteren Führungskräften. In der Tat fast von allen außer dem CISO. Auf diese Weise wird bei jedem Mitarbeiter der Eindruck entstehen, dass allen um ihn herum die Sicherheit wichtig ist. Das wird einen positiven Gruppendruck erzeugen, der ihn dazu veranlasst, ähnlich zu handeln. Dies ist der Schmelztiegel der Kultur.
Ratschlag #3: Nur strafen, wenn unbedingt nötig
Der wichtigste Schritt auf dem Weg von der Bewusstseins- auf die Verhaltensebene ist die Schaffung einer Motivation zur Verhaltensänderung. Die Motivation kann auf verschiedene Weise gefördert werden. Eine davon ist die Angst vor Bestrafung oder Blamage, wenn Mitarbeiter einen Fehler machen oder einen Sicherheitstest nicht bestehen.
Sicherheitsexperten haben in dieser Frage unterschiedliche Ansichten. Einige glauben, dass negative Konsequenzen um jeden Preis vermieden werden müssen. Andere nutzen sie als erstes und einfachstes Motivationsmittel. Beides ist ein Fehler, und der beste Weg ist der Mittelweg.
Sicherheitsteams, die schnell bestrafen, verlieren die Unterstützung der Belegschaft und werden als Blockwart der Organisation wahrgenommen. Sie erbringen zwar eine Dienstleistung, aber auf Kosten von Agilität, Flexibilität und Pragmatismus – alles Dinge, die moderne Organisationen in hohem Maße benötigen. Dadurch wird es für die Mitarbeiter unwahrscheinlicher, sich mit ihren Sorgen, Schwachstellen und Ideen an Sie zu wenden.
In meiner Erfahrung haben die Organisationen, deren Belegschaft in Phishing-Tests am besten abschneidet, sowohl ein Schulungsmodell mit negativen Folgen für schlechtes Abschneiden als auch ein zugängliches und beliebtes Sicherheitsteam. Wie haben sie das geschafft? Es ist alles eine Frage des Timings.
Bei der Einführung eines Konsequenzmodells sollte der Schwerpunkt ausschließlich auf der Belohnung für richtiges Handeln liegen. Erst wenn die Organisation vom Reifegrad „Verhalten“ zum Reifegrad „Kultur“ übergeht, sollten auch negative Konsequenzen in Betracht gezogen werden. Zu diesem Zeitpunkt besteht ein solides Maß an Unterstützung im gesamten Unternehmen, und das Modell der negativen Konsequenzen kann als letzte Stufe eingesetzt werden, um die wenigen Nachzügler zu motivieren, die nicht mit der Kultur übereinstimmen, die der Rest angenommen hat. Die Umsetzung ist die gleiche, aber die Botschaft ist eine völlig andere.
In einem Zeitalter, in dem die Identität die neue Angriffsfläche ist und Menschen so zentral für die Cyberverteidigung sind, ist die Sicherheitskultur ein Steuerungselement, dem jeder CISO hohe Priorität einräumen sollte. Die Befolgung der drei Ratschläge wird einen bemerkenswerten Unterschied für den Erfolg eines Sicherheitsprogramms ausmachen und das Risiko eines erfolgreichen Cyberangriffs signifikant verringern.