Das 1×1 der IT-Sicherheit: Warum Führungskräfte ihre Beschäftigten für Cybersicherheit sensibilisieren sollten

Das Risiko steigt, ins Visier von Cyberkriminellen zu geraten. Eine der wichtigsten Sicherheitsvorkehrungen ist es, dass alle Mitarbeitenden sensibilisiert sind für die Bedeutung von IT-Sicherheitsmaßnahmen und ein Grundverständnis von Cybersicherheitsprozessen entwickeln. So lassen sich Attacken effektiv verhindern oder zumindest in ihrem Ausmaß begrenzen, wie die aktuelle Folge unserer Reihe „1×1 der IT-Sicherheit“ zeigt.

Nahezu täglich wird in den Medien ein neuer Fall bekannt, bei dem Unternehmen zu Opfern schwerwiegender Cyberkriminalität werden. Alle elf Sekunden, so die FAZ, erfolgt global betrachtet eine Ransomware-Attacke. Wie können sich Organisationen auf einen Angriff vorbereiten – und sich bestenfalls sogar gänzlich vor ihr schützen? Neben der Technologie sind dabei vor allem die Mitarbeiter*innen entscheidend. So sehen laut einer Umfrage von Techconsult 70 Prozent der befragten IT-Sicherheitsverantwortlichen den Faktor Mensch und ein mangelndes Sicherheitsbewusstsein als größtes Risiko für ihr Unternehmen.

Führungskräfte müssen die Bedeutung von IT-Sicherheit vorleben

Viele Organisationen können von den Erfahrungen profitieren, die Expert*innen in extremen Risikosituationen gemacht haben. Robby Mook, Manager der Wahl-Kampagne von Hillary Clinton, und Matt Rhoades, Kampagnen-Manager von Mitt Romney im Wahlkampf 2012, haben gemeinsam mit Eric Rosenbach, Co-Director des Belfer Center for Science and International Affairs der Harvard Kennedy School, ihr Wissen in einem gemeinsamen Arbeitspapier festgehalten.

Der erste Punkt ihrer Liste: Eine Arbeitskultur schaffen, in der Beteiligte sensibilisiert werden für IT- und Datensicherheit. Daraus leitet sich eine klare Aufgabe für Führungskräfte ab: Sie sind gefordert, mit gutem Beispiel voranzugehen sowie Weiterbildungen für ihre Beschäftigten zu organisieren. Die Wirksamkeit der Sensibilisierung von Mitarbeitenden belegt auch eine Studie von Forscher*innen der US-amerikanischen Old Dominion University sowie der North Carolina A&T State University. Sie kommen zu dem Schluss, dass Mitarbeiter*innen ihre Cybersicherheitsaufgaben kompetenter wahrnehmen, wenn sie die IT-Sicherheitsrichtlinien ihres Unternehmens kennen.

Mook, Rhoades und Rosenbach entwickeln eine Handlungsanleitung in fünf Schritten für politische Kampagnen, um das Personal für IT-Sicherheit zu sensibilisieren. Diese sind jedoch ebenso bedeutend für Organisationen jeder Größenordnung – von kleinen und mittelständischen Unternehmen bis hin zum globalen Konzern:

    • Bereits beim Onboarding sind Informationen zum IT-Sicherheitstraining entscheidend. Diese Trainings sollten generell für alle Mitarbeiter*innen abgehalten werden – und für Kolleg*innen, die in besonders sensiblen Bereichen arbeiten, noch ausführlicher durchgeführt werden. Wichtig: Insbesondere erfahrene Mitarbeiter*innen sollten die Bedeutung von IT-Sicherheit vorleben – und regelmäßig darauf hinweisen.
    • Mitarbeitende sollten unbedingt auf die speziellen Gefahren von Phishing-Attacken hingewiesen werden. Phishing ist eine der gängigsten Angriffsszenarien und insbesondere die Leitidee „think before you click“ sollte die gesamte Belegschaft verinnerlichen.
    • Nicht jede*r muss für seine oder ihre Arbeit Zugriff auf alle sensiblen Informationen haben. Führungskräfte sollten darauf achten, welcher Person sie den Zugang zu vertraulichen oder geheimen Daten ermöglichen. Damit der Zugriff auf Daten in der Cloud nur von autorisierten Personen erfolgen kann, bietet Microsoft zudem verschiedene Sicherheitslösungen an, die die Identitäten der Nutzer*innen zuverlässig verwalten und zugleich für jede befugte Person das richtige Zugriffsniveau auf wichtige Ressourcen gewährleisten.
    • Ein Unternehmen ist immer auch mit anderen Firmen verknüpft. IT-Sicherheit sollte in der Zusammenarbeit zum Standard gehören, Unternehmen sollten in der Kooperation mit Dienstleistern oder Zulieferbetrieben, die vertraulichen Informationen verarbeiten, auf sichere Kommunikations- und Speicherlösungen bestehen.
    • Die Zugangsdaten zu internen Tools, Datenbanken oder sogar Social-Media-Accounts sollten regelmäßig verändert werden, sodass niemand Unbefugtes etwa nach seinem Ausscheiden aus dem Unternehmen weiterhin Zugang hat.

Cybersicherheit in einem Unternehmen ist keine alleinige Aufgabe von IT-Expert*innen, sondern muss von allen Beschäftigten verinnerlicht werden. Der entscheidende Schlüssel, um das Wissen im Unternehmen zu verbreiten, sind Schulungen. Deshalb bietet auch Microsoft digitale Lernmodule an, die das sichere und verantwortungsbewusste Arbeiten mit allen Microsoft-Produkten erklären. So können Unternehmen ihre Mitarbeiter*innen bestmöglich auf die Gefahren vorbereiten – und möglicherweise eine Cyberattacke mit schwerwiegenden Folgen abwenden.

Weitere Beiträge der Serie

Alle Beiträge unserer Reihe „Das 1×1 der IT-Sicherheit“ gibt es hier.

Ein Beitrag von Stratos Komotoglou
Head of Security, Compliance, Identity Customer Success bei Microsoft Deutschland
@HerrStratos

Stratos Komotoglou

Tags: , ,

Weitere Infos zu diesem Thema

12. Juli 2021
Das 1×1 der IT-Sicherheit: Lückenloser Schutz in der Cloud mit Confidential Computing

Daten vor dem Zugriff Unbefugter zu schützen, ist ein mehrstufiger Prozess: Die Daten müssen sowohl dort geschützt werden, wo sie entstehen, als auch beim Transport in die Cloud und schließlich gilt es, den Zugriff auf die in der Cloud gespeicherten Daten für all diejenigen zu unterbinden, die keine Zugriffsrechte haben. Wir erklären in dieser Folge, welche Rolle Confidential Computing dabei spielt.

23. Juni 2021
Das 1×1 der IT-Sicherheit: Was Penetrationstests tun und wie sie zur Sicherheit der Cloud beitragen

Die Cloud ist für 76 Prozent der Unternehmen in Deutschland inzwischen ein fester Bestandteil ihrer IT-Infrastruktur, wie der Cloud Monitor 2020 zeigt. Entsprechend wichtig ist es, dass die Daten in der Cloud sicher sind. Um die Sicherheit regelmäßig zu überprüfen, führen Organisationen daher Penetrationstests durch. Was es damit auf sich hat, erklären wir in unserem aktuellen Beitrag in der Reihe „Das 1×1 der IT-Sicherheit“.