VERANSTALTUNGEN

it-sa 2018
09.10.18 - 11.10.18
In Nürnberg

Internet World Congress
09.10.18 - 10.10.18
In München

plentymarkets Omni-Channel Day 2018
12.10.18 - 12.10.18
In Kassel

Digital Marketing 4Heroes Conference
16.10.18 - 16.10.18
In Wien und München

4. Esslinger Forum: Das Internet der Dinge
17.10.18 - 17.10.18
In Esslingen

Cyber Security Concept

Mitarbeiter stellen eine potenzielle Schwachstelle für die IT-Sicherheit dar. Eine sicherheitsorientierte Unternehmenskultur soll die Antwort darauf sein, vielfach bleibt sie aber auf halbem Weg stehen. Das Top-Management muss an vorderster Front von Sicherheitsinitiativen und dem Aufbau dieser Sicherheitskultur stehen.

Wie der Aufbau einer solchen Kultur gelingen kann, erläutert NTT Security (Germany), das auf Sicherheit spezialisierte Unternehmen und „Security Center of Excellence“ der NTT Group.

Bei der Realisierung einer höchstmöglichen Sicherheit müssen Unternehmen IT-Lösungen und Prozesse, aber auch den Faktor Mensch berücksichtigen. Diesen Punkt adressieren sie verstärkt und ergreifen umfassende Initiativen, die nicht primär auf Compliance-Konformität abzielen, sondern auf die Sensibilisierung von Mitarbeitern. Ziel ist die Schaffung einer sicherheitsorientierten Unternehmenskultur. „Prinzipiell sind solche Sicherheitsinitiativen zu begrüßen, allerdings zeigt die Erfahrung, dass sie vielfach nur von der IT initiiert werden", erklärt Kai Grunwitz, Senior Vice President EMEA bei NTT Security. „Der richtige Ansatz wäre, sie zusätzlich im Management-Board zu verankern, das solche Initiativen sichtbar kommunizieren und vorantreiben sollte.“

Tatsächlich ist eine hohe IT-Sicherheit nur im Rahmen einer sicherheitsorientierten Kultur umsetzbar, die im gesamten Unternehmen verankert ist – auch und vor allem in der Führungsebene, denn gerade sie ist ein primäres Ziel von Hackerangriffen. Das Top-Management muss an vorderster Front von Sicherheitsinitiativen und dem Aufbau dieser Sicherheitskultur stehen. Welche Schritte dazu notwendig sind, erläutert NTT Security:

  1. Zu Beginn erfolgt eine umfassende Bestandsaufnahme von Sicherheit und Sicherheitsbewusstsein im Unternehmen, unter Berücksichtigung von Prozessen, der eingesetzten Technologien und dem Faktor Mensch.
     
  2. Darauf basierend entsteht eine Security-Awareness-Initiative, die sich nicht auf Compliance, sondern auf die Risiken für das Unternehmen und Vorteile für die Mitarbeiter fokussiert; Compliance entsteht dabei gewissermaßen nebenbei.
     
  3. Im Rahmen dieser Initiative werden keine allgemeingültigen, sondern konkrete, sicherheitsrelevante Fälle aus dem Unternehmen vorgestellt. Damit können sich Mitarbeiter viel besser identifizieren.
     
  4. Die Botschaften der Initiative müssen möglichst einfach sein und ständig wiederholt werden.
     
  5. Die Initiative muss bei den Führungskräften verankert sein und von diesen vorangebracht und auch vorgelebt werden. Dafür müssen sie ganz besonders sensibilisiert werden, denn in der Praxis zeigt sich leider immer wieder, dass das Management sich von allgemeingültigen Regeln ausnimmt.
     
  6. Der Aufbau einer sicherheitsorientierten Unternehmenskultur ist kein kurzfristiges Projekt – der Veränderungsprozess muss kontinuierlich und nachhaltig sein. Daher sollten Security-Initiativen kontinuierlich erweitert werden; Teilschritte sind einem Big Bang vorzuziehen, weil ein solcher allzu oft nach kurzer Zeit versandet.
     
  7. Bewusstsein allein schafft noch keine Datensicherheit. Parallel dazu müssen Unternehmen natürlich auch entsprechende Budgets zur Implementierung der technischen IT-Sicherheit bereitstellen.
     
  8. Sicherheitsbewusstsein benötigt regelmäßige Auffrischung. Positive Beispiele stärken zum Beispiel die Awareness der Mitarbeiter: so können etwa Angriffssimulationen anhand von konkreten Beispielen vorgestellt werden.

NTT Security unterstützt Unternehmen bei der Umsetzung einer Sicherheitskultur und gerade auch bei der Sensibilisierung der Führungsebene. Dafür hat der IT-Dienstleister ein spezielles Serviceangebot entwickelt, den sogenannten „Management Hack“. Unter Nutzung von Social-Engineering-Techniken wird dabei überprüft, inwieweit Führungskräfte ein Sicherheitsrisiko darstellen. Nach Abstimmung mit dem CISO oder IT-Leiter führt NTT Security simulierte, personalisierte Social-Engineering-Angriffe durch. Zum Einsatz kommen Techniken wie Phishing oder personalisiertes Spear-Phishing in Kombination mit Malware- oder Brute-Force-Angriffen auf Passwörter.

„Mit unserem neuen Serviceangebot kann die IT auch die Führungsebene schnell ins Boot holen und für das Thema Sicherheit sensibilisieren und gewinnen“, so Grunwitz, „und zwar nicht nur verbal, sondern mit realitätsnaher Dokumentation des Gefahrenpotenzials.“

Weitere Informationen zum „Management Hack“ von NTT Security finden sich unter www.nttsecurity.com/de-de/management-hack-service.
 

GRID LIST
Tb W190 H80 Crop Int 69bd67d0766bcf55730eef75a3612605

IT-Sicherheit nach Maß

65 Experten kümmern sich beim Energieversorger Innogy um die Cybersicherheit,…
Rüdiger Trost, Head of Cyber Security Solutions F-Secure DACH

Ein ungleicher Kampf: Cyber-Kriminalität vs. Mittelstand

In KMUs scheitert die Cyber Security oft an den Kosten. Muss das so sein oder gibt es…
Firewall Concept

DSGVO-konform – Die neue TUX-Firewall TG-0500

Zum Schutz personenbezogener Daten verlangt die EU-DSGVO „angemessene technische und…
Hacking Detected

Managed Security Service Provider als Antwort auf den Fachkräftemangel

Aufgrund des anhaltenden Fachkräftemangels im IT-Sicherheitsumfeld steigt die Nachfrage…
Tb W190 H80 Crop Int 004c3381798b4f8b8137447720d1dc24

Zu Risiken und Ausfällen fragen Sie Ihren Geschäftsführer oder Sicherheitsbeauftragten

Ein erfolgreich etabliertes und gelebtes Risikomanagement bildet eines der Kernelemente…
Security Concept

GI fordert sicherere IT-Hardware und -Software in Europa

Der Präsidiumsarbeitskreis „Datenschutz und IT-Sicherheit“ der Gesellschaft für…
Smarte News aus der IT-Welt