Cyber Security und Compliance: Die Mitarbeiter ins Boot holen

Der Oktober stand wie immer ganz im Zeichen nationaler Cybersicherheit. Tendenziell kein schlechter Zeitpunkt Mitarbeitende in Sachen Cybersicherheit auf den aktuellen Stand zu bringen. Dazu bedarf es allerdings etwas mehr als nur Informationen zu verteilen. Firmen brauchen stattdessen umsetzbare Strategien, die nicht nur unterstreichen wie wichtig Cybersicherheit ist, sondern die Mitarbeitende aktiv und kontinuierlich einbeziehen.

1. Auf die Mitarbeiter kommt es an. Zeigen Sie ihnen das

Immer noch haben viele Mitarbeiter nicht einmal ein grundlegendes Bewusstsein dafür, wie und warum ein Unternehmen bestimmte Cybersicherheitsstrategien einführt. So fehlt beispielsweise das Verständnis für die weitreichenden Folgen, wenn jemand einen infizierten Link anklickt und damit potenziell das ganze Netzwerk gefährdet. Der erste Schritt in Sachen Weiterbildung ist es, das Material ausreichend relevant und konkret zu gestalten. Verdeutlichen Sie Ihren Mitarbeitern wie deren Verhalten direkt in die Sicherheitsbelange des gesamten Unternehmens eingreift. Wenn jemand verinnerlicht, dass die eigenen (konformen) Verhaltensweisen dazu beitragen, die Sicherheit des Unternehmens zu verbessern, führt das vermutlich zu einem weit weniger riskanten digitalen Verhalten.

Anzeige

In einer aktuellen Studie mit 500 Befragten wurde beispielsweise herausgefunden, dass zwei von fünf Angestellten auf Links und Anhänge klicken, auch wenn sie diese nicht kennen. Offensichtlich, ohne über die möglichen Konsequenzen nachzudenken. Eine weitere Umfrage von Shred-It konstatiert, dass mehr als 25% der Teilnehmer ihre Computer nicht für einen unbefugten Zugriff sperren, wenn die Geräte unbeaufsichtigt sind. Derart nachlässige Mitarbeiter können eine Firma teuer zustehen kommen oder ihr doch wenigstens einiges Kopfzerbrechen bereiten. Hier kann man vergleichsweise einfach Abhilfe schaffen.

Wenn Sie mit Ihren Mitarbeitern erstmals über Cybersicherheit und Compliance sprechen, gilt es plausibel zu machen, dass selbst kleine, scheinbar unbedeutende Entscheidungen weitreichende Auswirkungen haben.

Eine Methode sind Rollenspiele. Sie machen sinnfällig, welchen Unterschied vermeintlich unbedeutende Entscheidungen haben. Und das in beiderlei Hinsicht: positiv wie negativ. Man sollte bei dieser Methode allerdings darauf achten, dass Mitarbeiter sich nicht allein für Defizite in der Cybersicherheit verantwortlich fühlen. Der Fokus sollte weniger auf Fehlern liegen als auf einer Fehlerkultur. Trainer sollten vermitteln, dass auch vermeintlich kleine Schritte erheblich dazu beitragen Cybersicherheit zu stärken.

2. Cybersicherheit schon bei der Einstellung trainieren

Mitarbeiter in Cybersicherheit zu involvieren ist ein Prozess — und den kann man nie früh genug starten. Es macht also durchaus Sinn, Cybersicherheit als Thema bei Neueinstellungen anzusprechen. Diese Strategie hat einige Vorteile. Zunächst einmal verdeutlichen Sie, dass Cybersicherheit fester Bestandteil der Unternehmenskultur ist. Und Sie geben Neuankömmlingen die Chance, dies schon von Anfang an zu beherzigen. Menschen wollen sich im Job wertgeschätzt fühlen und sie wollen Anteil am Erreichen der Unternehmensziele haben. Wer von Anfang an über die Cybersicherheitsmaßnahmen informiert worden ist, der weiß sofort wie er seinen Arbeitsplatz sicherer machen kann – auch im Sinne aller anderen.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

3. Top Down: Cybersicherheit vorleben

Mitarbeiter sträuben sich meistens gegen neue oder bessere Cybersicherheit-Maßnahmen, falls die Führungskräfte nicht einmal den Anschein erwecken, genauso hinter den Ansätzen zu stehen, wie sie es von ihren Mitarbeitern verlangen. Ein wichtiger Schritt, um Cybersicherheit zu einen wichtigen und vor allem gelebten Teil der Unternehmenskultur zu machen, ist, dass die Führungsriege Sicherheit vorlebt. Führungskräfte sollten wissen wie man eine Kultur der Cybersicherheit stärkt. Regelmäßige Meetings auf Vorstandsebene und mit dem Cybersicherheitsteam tragen dazu bei. So kann man Probleme und Bedenken zeitnah ansprechen, Fortschritte gebührend würdigen und Möglichkeiten besprechen, um die Mitarbeiter stärker in Maßnahmen zur Cybersicherheit mit einzubeziehen.

4. Umsetzung prüfen

Cybersicherheitsexperten können sich nicht einfach darauf verlassen, dass Mitarbeiter sämtliche oder die meisten der gelernten Maßnahmen auch tatsächlich umsetzen. Cybersicherheitsaudits sind ein guter Weg zu überprüfen, wie sicher ein Unternehmen wirklich ist. Man kann feststellen wie gut ein Training für die Praxis wirklich war und ob es noch Verbesserungspotenziale gibt.

Viele Unternehmen, wie zum Beispiel regierungszugehörige Firmen oder solche, die Gelder von staatlichen Behörden erhalten, müssen sich Audits unterziehen. Sie müssen nachweisen, dass sie gut definierte Richtlinien, Dokumente, Verfahren und Prozesse eingezogen haben, und die vorgegebenen Standards in der Cybersicherheit ernstnehmen. Solche Inspektionen sind für jedes Unternehmen hilfreich, weil darin Grundsätze festgelegt werden. Neben Audits kommen auch Übungen in Frage, bei denen die Mitarbeiter ihre neu erworbenen Fähigkeiten in simulierten Szenarien anwenden. Dabei zeigt sich nicht nur, ob die Schulungen greifen, sie geben Teilnehmern auch die Gelegenheit nachzufragen, sollte etwas unklar geblieben sein. Bei klar formulierten Grundsätzen für die Cybersicherheit steigt die Wahrscheinlichkeit, dass diese mehr und mehr zur Routine im beruflichen Alltag werden. Auf der technischen Ebene sind System-Backups und Zwei-Faktor-Authentifizierung weitere Methoden wie man Cybersicherheit zügig verbessern kann.

2017 wurden Ergebnisse veröffentlicht wie es in staatlichen Unternehmen um die Bereitschaft zur Cybersicherheit bestellt ist: 68 % der Vorstandsmitglieder gaben an, kein Cybersicherheitstraining erhalten zu haben wie sie beispielsweise auf Vorfälle reagieren sollten und 10 % verfügten über keinen Sicherheitsplan im Falle einer Datenschutzverletzung. Diese Ergebnisse sind schwerwiegend. Ohne einen solchen Plan ist es kaum möglich schnell und effizient genug auf einen Vorfall zu reagieren.

5. Wie Mitarbeiter auf verdächtige Ereignisse reagieren sollten

Wenn Mitarbeiter wissen, wie sie im Sinne der Cybersicherheits-Praktiken handeln sollten minimiert man automatisch die Zweifel ob ein bestimmtes Vorkommnis gemeldet werden sollte oder nicht. Nicht selten bemerken Mitarbeiter verdächtige Vorfälle nämlich durchaus, beruhigen sich aber selbst. Die Schlussfolgerung, es werde schon jemand anderer aktiv werden, ist leider nicht zwingend die beste. Im Falle eines ungewöhnlichen Cybersicherheitsvorfalls sollten Unternehmen über einen benutzerfreundlichen Prozess verfügen. Der sollte es erlauben, Vorfälle dieser Art präzise und schnell mitzuteilen. Cybersicherheitsverantwortliche sollten eine Fehlerkultur vertreten, nach der man lieber einmal einen falschen Alarm erhält, statt aus Angst vor den Konsequenzen eine Beobachtung zu verschweigen.

Ein einfaches, universales System reduziert Fehler und liefert die notwendigen Informationen. Wenn verschiedene Abteilungen unterschiedliche Methoden nutzen oder ein Reporting-System für den durchschnittlichen Benutzer zu kompliziert ist, erreicht man eher das Gegenteil.

6. Das richtige Maß an Informationen

Jeder kennt das betäubende Gefühl nach ellenlangen PowerPoint-Präsentationen. Das Gehirn kann einfach keine weiteren Informationen mehr aufnehmen. Egal welche Methode Sie letztlich nutzen, ein Cybersicherheitsexperte sollte seine Informationen portionieren. Hilfreich sind kurze Videos oder informelle Mittagsmeetings. Auf jeden Fall ist es hilfreich, die Informationen in wohl dosierten Mengen zu vermitteln, dafür aber regelmäßig.

Die Bereitschaft Cybersicherheit umzusetzen ist ein Prozess

Es gibt nicht den Punkt an dem Mitarbeiter genug über Cybersicherheitsrisiken wissen. Die beschriebenen Tipps sind zweifelsohne hilfreich. Aber nur dann, wenn sie so regelmäßig wie andere gut durchstrukturierte Prozesse am Arbeitsplatz umgesetzt werden. Jeder Mitarbeitende sollte sich an empfohlene Sicherheitspraktiken halten, weil jeder seinen Anteil daran hat, Cybersicherheit und Compliance im Unternehmen zu gewährleisten.

www.globalsign.com/de-de/
 

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.