Anzeige

Anzeige

VERANSTALTUNGEN

eoSearchSummit
06.02.20 - 06.02.20
In Würzburg, Congress Centrum

DSAG-Technologietage 2020
11.02.20 - 12.02.20
In Mannheim, Congress Center Rosengarten

E-commerce Berlin Expo
13.02.20 - 13.02.20
In Berlin

KI Marketing Day - Konferenz
18.02.20 - 18.02.20
In Wien

DIGITAL FUTUREcongress
18.02.20 - 18.02.20
In Frankfurt a.M.

Anzeige

Anzeige

Menschen als Marionetten

Führungskräfte spielen beim Thema Security Awareness eine ganz besondere Rolle. Welchen Einfluss haben sie auf die Handlungen ihrer Angestellten? Und was muss ein Chef selbst über Security Awareness wissen?

In den letzten beiden Folgen unserer kleinen Serie zum Thema „Security Awareness“ sind die Unternehmens-Mitarbeiter nicht sonderlich gut weggekommen: Sie wurden ausgetrickst, machten (menschliche) Fehler und mussten davon überzeugt werden, dass auch sie ihren Anteil zur Unternehmenssicherheit beitragen müssen. Das ist aber kein Grund für die Führungskräfte, sich nun entspannt zurückzulehnen und bei jedem Hack und jeder Datenpanne auf die Mitarbeiter und die IT zu zeigen, kommt ihnen doch eine ganz besondere Rolle beim Thema Security Awareness zu. 

„Ich versteh das einfach nicht. Wie kann man nur so naiv sein, den Anhang einer E-Mail zu öffnen, wenn man den Empfänger nicht kennt? Das sollte doch inzwischen auch der letzte wissen, dass das fatale Folgen haben kann! Wofür bezahle ich denn eine IT-Abteilung?“ Der Chef tobt. Eben hat sich herausgestellt, dass ein Erpressungs-Trojaner die gesamte Unternehmens-IT lahm gelegt hat. Da ist es wenig tröstlich, dass man da in bester Gesellschaft ist: Unlängst erst musste das Berliner Kammergericht komplett vom Netz genommen werden, nachdem sich dort der Emotet-Trojaner eingenistet hatte; unter den Folgen leidet man dort noch heute. Für den Chef unseres fiktiven Unternehmens jedenfalls ist klar: Schuld war einer der Angestellten aus dem Vertrieb, der dem Befall durch seine Nachlässigkeit Tür und Tor geöffnet hatte - und die IT, die da vorab keine geeigneten Gegenmaßnahmen getroffen hat. Ein Fall, wie er sich sicher jeden Tag irgendwo auf der Welt ereignet.

Aber - so einfach lassen wir unseren „Chef“ hier nicht davon kommen. Denn statt auf die üblichen Verdächtigen zu deuten, sollte er besser darüber nachdenken, welche Rolle er - bzw. Führungskräfte allgemein - in Bezug auf Datenschutz, Informationssicherheit und Security Awareness in einem Unternehmen spielen. Hat er seine diesbezügliche Vorbildfunktion gut genug ausgefüllt? Welchen Einfluss hat er auf die Handlungen seiner Angestellten? Und was muss er selbst über Security Awareness wissen?

Der Chef als Vorbild

Schon immer war es in der Evolutionsgeschichte so, dass sich Lebewesen am Ranghöheren bzw. Ranghöchsten orientierten. Kinder lernen von den Eltern, Wolfsjungen eifern dem Rudelchef nach; Mitarbeiter können nur dann ihr Potenzial voll ausschöpfen, wenn es an der Spitze jemanden gibt, der die Marschroute vorgibt und das vorlebt, was er von seinen Mitarbeitern verlangt. Denn sie orientieren sich auch am Verhalten des Chefs; selbst wenn sich Aufgaben und Funktionen des Vorgesetzten in den letzten Jahrzehnten stark gewandelt haben, so wird er/sie auch heute noch von den Mitarbeitern beobachtet und dient ihnen als Orientierung; fehlt diese Orientierung, so suchen sie sich ihren eigenen Weg. In unserem Fall heißt das: Wenn sich die Führungskraft nicht zum Thema Informationssicherheit äußert oder sie aktiv mitgestaltet und vorlebt, überträgt sich das auch auf die Mitarbeiter - die dann auch den Eindruck gewinnen, dass das ja so wichtig auch nicht sein kann. Da reicht es eben nicht aus, die Teams in entsprechende Kurse zu stecken oder ihnen Faltblättchen an die Hand zu geben; nein, die Kollegen müssen erkennen, dass dieses Thema auch dem Vorgesetzten wichtig ist. Erst dadurch werden sie motiviert, selbst etwas an Zeit und Anstrengung zu investieren.

Informationssicherheit und Unternehmenskultur

Unternehmenskultur - das sind die Normen, Wertvorstellungen, Regelungen und Einstellungen, aber auch die inoffiziellen Gepflogenheiten, die die Handlungen, Entscheidungen und das Verhalten der Mitarbeiter eines Unternehmens prägen. Das heißt: Die Unternehmenskultur ist eine Orientierungshilfe und Grundlage für das Handeln.

„Gelebte Informationssicherheit fördert eine Unternehmenskultur, in der verantwortungsbewusstes Handeln, Kundenorientierung und die Identifikation mit den Unternehmenszielen fest verankert sind.“ - schreibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem „Leitfaden Informationssicherheit“. Und Bernd Kloft, Informationssicherheitsexperte beim TÜV Rheinland meint:“ "Wirksame Informationssicherheit kombiniert technische Lösungen mit einer Unternehmenskultur, die die Mitarbeiter immer wieder in das Thema einbindet und motiviert." Zwei Zitate, die uns zu denken geben sollten, belegen sie doch, dass Informationssicherheit und Unternehmenskultur mittlerweile untrennbar miteinander verbunden sind - oder besser: sein sollten. Nun muss eine „Sicherheitskultur“ (als Teil der Unternehmenskultur) nicht erst geschaffen werden - die ist in jedem Unternehmen vorhanden. Allerdings reagieren Kulturen im Allgemeinen nur sehr langsam auf Veränderungen von außen. Das mag in vielen Bereichen kein Problem oder sogar wünschenswert sein; in der Informationssicherheit aber, wo durch immer ausgefeiltere Angriffe die Bedrohungslage rasant wächst, ist diese Trägheit fatal. Die Sicherheitskultur muss also schnell den neuen Gegebenheiten angepasst werden - und das ist erst einmal Chefsache. Nach einer Analyse des Ist-Zustandes muss ein Soll-Zustand definiert, Veränderungsstrategien geplant und durchgeführt werden - und später auch weiter befeuert werden. Nur mit so einem Gesamtkonzept ist es möglich, bei den Mitarbeitern eine grundlegende Bewusstseinsänderung zu schaffen - und damit eine den heutigen Erfordernissen auf Dauer angepasste Unternehmenskultur. Zielvorgaben, Maßnahmen und Anpassungen müssen dabei aus der Führungsetage kommen, die dabei aber stets die Rückmeldungen der Mitarbeiter berücksichtigen sollten, um so den Erfolg des Kulturwandels richtig einschätzen und den Weg gegebenenfalls korrigieren zu können. Dass die Führungskräfte dann die neue Unternehmenskultur vorbildhaft vorleben, sollte nach dem letzten Abschnitt klar sein.

Was der Chef wissen muss

Wenn Führungskräfte die neue Sicherheits- bzw. Unternehmenskultur vorleben sollen, ist es unabdingbar, dass sie auch mit den Details der Security Awareness vertraut sind. Begriffe wie Tailgating, Social Engineering, Ransomware oder „Fake President“ sollten für ihn keine „böhmischen Dörfer“ sein, auch sollte er über seine eigene (eventuell passive) Rolle bei diesen Angriffen sowie aktuelle Bedrohungen im Netz Bescheid wissen. Um da mitreden und vorleben zu können, ist es - bei mangelhaften Kenntnissen - nicht verkehrt, eins der inzwischen zahlreichen Angebote zum Thema „Unternehmenssicherheit für Führungskräfte“ zu nutzen.

Bundesdatenschutzgesetz, Europäische Datenschutzgrundverordnung, Datenschutz-Anpassungs- und Umsetzungsgesetz, Landesdatenschutzgesetze - das Thema Datenschutz ist ein Dschungel. Bei den Unmengen an Verordnungen und Gesetzen kann man schon mal eingeschüchtert den Überblick verlieren. Weshalb Führungskräfte derartige Sachen dann gerne ihren Juristen und IT-Mitarbeitern überlassen. Aber spätestens seit dem Inkrafttreten der EU-DSGVO geht es auch um Haftungsfragen, Versäumnisse können schnell sehr teuer werden. Daher sollte jeder Chef hier wenigstens die Basics kennen. Denn letztendlich ist nicht die IT, sondern er dafür verantwortlich.

Wissen muss ein Chef schließlich auch, dass Informationen ein durchaus wichtiges Unternehmensgut sind, das in ganz unterschiedlichen Formen vorliegen kann - beispielsweise auf Papier gedruckt, in IT-Systemen gespeichert, aber vor allem auch als Wissen in den Köpfen Ihrer Mitarbeiterinnen und Mitarbeiter - Daten und Informationen sind die neue Währung, die alles bestimmt. Und schon deshalb ist die Etablierung von Prozessen für die Informationssicherheit eine Führungsaufgabe.

Der Mitarbeiter, das unbekannte Wesen

Kommen wir noch einmal zurück zu unserem anfänglichen Szenario und der Frage „Ich versteh das einfach nicht. Wie kann man nur so naiv sein, den Anhang einer E-Mail zu öffnen, wenn man den Empfänger nicht kennt?“ um das beantworten zu können, muss man (bzw. der Chef) sich ein wenig mit dem Thema „Handlungsmotivation“ beschäftigen. Der Mensch an sich ist nun mal ein bequemes Wesen, das in erster Linie nicht das macht, was man ihm sagt, sondern das, was ihm persönlich a) am meisten nützt und b) am wenigsten Anstrengungen bereitet - es sei denn, es drohen ihm Sanktionen, falls er denn dabei erwischt wird. Daher ist es schwer, neue Richtlinien durchzusetzen, die einen Mehraufwand für Mitarbeiter bedeuten, wenn sie nicht von ihrer Notwendigkeit überzeugt sind und zudem einsehen, dass diese auch zu ihrem persönlichen Nutzen sind; ein Gewinn an Sicherheit geht ja erst einmal mit einem Verlust an Bequemlichkeit einher.

Was also kann/muss aus der Führungsetage kommen, um die Mitarbeitermotivation in Bezug auf die Datensicherheit zu steigern? Denn von allein wird da nichts passieren. Nun - statt Richtlinien einfach per Aushang/Mail zu verteilen, sollten lang angelegte Kampagnen geplant und diese dann auch schon im Vorfeld durch (bereits in Teil 2 dieser Artikelreihe vorgestellten) geeignete Maßnahmen vorbereitet werden, bevor es „richtig losgeht“. Dazu gehören inszenierte (aber natürlich letztendlich harmlose) Bedrohungen, die den Mitarbeitern zeigen, wie schnell der Rumpf der Datensicherheit Leck schlagen kann; hilfreich ist es aber auch zu zeigen, dass die neuen Regelungen den Mitarbeitern auch einen Vorteil bei der Gestaltung der privaten, häuslichen IT-Sicherheit bringen. Vor allem aber müssen sie sich bei all dem wertgeschätzt und in den Prozess der Umgestaltung mit einbezogen fühlen. Das alles erfordert Fingerspitzengefühl, Einfühlungsvermögen und gute Planung - und ist ebenfalls „Chefsache“.

Lesen Sie auch die anderen Beiträge dieser Serie:

Teil 1: Security Awareness: Definition und Bedeutung

Teil 2: Methoden der Security Awareness Vermittlung

Teil 3: In der dritten Folge wird beleuchtet werden, welche Rolle Führungskräfte in Bezug auf Datenschutz, Informationssicherheit und Security Awareness in einem Unternehmen spielen. Wie können sie ihre Vorbildfunktion ausfüllen? Welchen Einfluss haben sie auf die Handlungen ihrer Angestellten? Was müssen sie selber über Security Awareness wissen?

Teil 4: Im abschließenden Teil dann lassen wir auch die Kritiker von Security-Awareness-Schulungen zu Wort kommen, die die dafür notwendigen Gelder lieber in eine sichere Software-Entwicklung, bessere Security-Schnittstellen und eine gute Nachsorge stecken würden. Haben die am Ende Recht? Wie weit lässt sich der Faktor Mensch überhaupt durch ein geschultes Sicherheitsbewusstsein eliminieren? Ist der IT-Anwender tatsächlich die letzte wirksame Verteidigungslinie?


Die SKYTALE Online-Akademie für IT-Sicherheit bietet staatlich zugelassene Online-Kurse für IT-Sicherheit und Datensicherheit - als zertifiziertes Fernstudium sowie als eLearning.

Das Kursangebot umfasst zertifizierte Weiterbildungen für IT-Experten sowie Fortbildungen für Mitarbeiter und Führungskräfte.

Die Online-Schulungen zur IT-Sicherheit werden auf einer Lernplattform sowie als App zur Verfügung gestellt und sind als nebenberufliches Studium oder in Vollzeit möglich.

https://skytale.academy


 

Max Ziegler, Akademieleiter & Dozent
Max Ziegler
Akademieleiter & Dozent, Skytale | Online Academy for IT-Security
Max Ziegler verfügt über langjährige Erfahrung bei der Durchführung von Sicherheits-Überprüfungen, Pen-Tests und Audits sowie der Konzeption und Beratung im Bereich IT- und Informationssicherheit.
Dieses umfangreiche Fachwissen hat er bereits als Trainer in Security-Kursen und als Dozent an mehreren deutschen Hochschulen mit Begeisterung mit anderen geteilt.
Sicherheitsrisiko Mensch
Okt 29, 2019

Unbedarfter Umgang mit IT-Security – Sicherheitsrisiko Mensch

IT-Sicherheitsexperte Dirk Schrader ist zusammen mit dem Bayerischen Rundfunk und der…
Menschen als Marionetten
Okt 22, 2019

Security Awareness: Definition und Bedeutung (Teil 1/4)

Datenpannen, Sicherheitslücken, Wirtschaftsspionage und - Sabotage durch Hacker: Laut…
Schwachstelle Mensch
Sep 14, 2019

Schwachstelle Mensch

Proofpoint, Inc. veröffentlicht die Ergebnisse seines jährlichen Human Factor Reports.…

Neuste Artikel

Marketing Trends 2020

Das sind die Marketing-Trends 2020!

Marketing entwickelt sich stetig weiter. Und für Shopbetreiber ist es wichtig, am Puls der Zeit zu bleiben, um auch weiterhin die eigenen (und neue) Kunden zu erreichen.
HR 2020

HR und Recruiting: Das wird 2020 wichtig

Geschwindigkeit und Flexibilität – das sind nach Einschätzung der internationalen Personalberatung Robert Walters die entscheidenden Faktoren für erfolgreiche Personalarbeit in diesem Jahr – vor allem, wenn es um das Gewinnen neuer Mitarbeiter geht.
Puzzle

Demant launcht EPOS

Sennheiser Communications A/S, das Joint Venture zwischen Demant A/S und der Sennheiser Electronic GmbH & Co. KG, hatte bereits angekündigt, dass es sich in einer neuen Konstellation weiterentwickeln wird. Im Jahr 2020 endet nun das Joint-Venture.
Strategiegipfel IT Management

Die IT als Technology Innovator

Über den Weg zur digitalen IT-Organisation und wie digitale Technologien die Struktur, die Rollen und das Verständnis der IT im Unternehmen verändern, spricht CIO Sinanudin Omerhodzic, Chief Information Officer bei der Paul Hartmann AG auf dem Strategiegipfel…
Field Service Management

Field Service Management: Flexibilität als oberstes Gebot

Field Service Management-Lösungen bieten für Unternehmen viele Vorteile – von erhöhter Produktivität bis hin zu mehr Effizienz. Die Implementierung solcher Lösungen ist allerdings auch mit Herausforderungen an Management und Belegschaft verbunden.
Puzzle Hand

FireEye übernimmt Cloudvisory

FireEye, Inc. (NASDAQ: FEYE), übernimmt Cloudvisory. Mit der Akquisition, die das Unternehmen am 17. Januar 2020 abgeschlossen hat, erweitert FireEye seine Plattform Helix um Sicherheitsfunktionen für Cloud-Workloads und bietet künftig eine integrierte…

Anzeige

GRID LIST
Hacker

Conversation Hijacking: Schutz vor hochpersonalisierten Angriffen

Beim Conversation Hijacking klinken sich Cyberkriminelle in bestehende…
Hacker

Trickreiche Cyber-Angriffe fokussieren mehr auf KMUs

„Kleine und mittelständische Unternehmen tun gut daran, das Risiko von Cyber-Angriffen…
Tb W190 H80 Crop Int 18a7f2e3a514753b9748ffff7b3b3747

Der Quantencomputer gefährdet schon heute die Datensicherheit

Die nächste IT-Ära lässt noch lange auf sich warten. Wann der Quantencomputer kommerziell…
Tb W190 H80 Crop Int Dad59e0147e6775ec7d5e340684fdd27

Mit Plan zur IT-Sicherheit

Unternehmen sehen sich immer größeren Gefahren der Cyberkriminalität gegenüber.…
5g Cyber Security

Cybersicherheit soll das Potenzial von 5G nicht einschränken

Da immer mehr „Dinge“ digitalisiert werden, gilt es immer größere Datenmengen zu bewegen…
Mythos

Die 5 hartnäckigsten Cybersecurity-Mythen

Auch im Zeitalter der Digitalisierung ranken sich noch zahlreiche Mythen rund um das…