Abseits der Technik: Cybersicherheit hat eine menschliche Komponente

Cyberangriffe haben sich zu einer allgegenwärtigen Bedrohung entwickelt, die schwere wirtschaftliche Schäden verursacht. James Hadley, CEO und Gründer von Immersive Labs, zeigt auf, warum es für Unternehmen nicht mehr nur eine zusätzliche Option sein darf, ihre Workforce angemessen auf den Umgang mit Cybersicherheitsvorfällen vorzubereiten.

Als Reaktion auf die von der US-amerikanischen Securities and Exchange Commission (SEC) geplanten Anpassungen der Anforderungen für die Offenlegung von IT-Sicherheitsvorfällen überprüfen viele Unternehmen gerade ihren Tech-Stack – und stellen dabei sicher, dass sie über die optimalen Security-Lösungen verfügen, um den Schutz ihrer Systeme aufrechtzuerhalten. Allerdings reicht es angesichts der zunehmend dynamischen Bedrohungslandschaft nicht mehr aus, nur in die neuesten technischen Lösungen zu investieren, um nachhaltige Widerstandsfähigkeit gegenüber Cyberangriffen zu gewährleisten. Führungskräfte müssen sicherstellen, dass auch ihre Mitarbeitenden optimal auf etwaige Sicherheitsvorfälle vorbereitet sind.

Die Zahl der Sicherheitsvorfälle war noch nie so hoch und die Konsequenzen, die sich aus ihnen ergeben, noch nie so weitreichend wie aktuell. Cyberkriminelle haben es auf öffentliche Einrichtungen wie Schulen und Krankenhäuser abgesehen, aber auch auf bekannte, globale Unternehmen wie T-Mobile, MailChimp und die britische Royal Mail. Es ist offensichtlich, dass traditionelle und rein technologiebezogene Cybersicherheitsansätze allein keinen ausreichenden Schutz mehr bieten.

Der Mensch als wichtiger Faktor bei Cybersicherheitsvorfällen

Heutzutage gibt es für jede Herausforderung im Bereich der Cybersicherheit das entsprechende Security-Tool – von Next-Gen-Firewalls bis hin zu den neusten XDR-, SASE-, CSPM-, SAST/DAST/IAST-Lösungen. Diese Tools bieten zwar ein gewisses Maß an Schutz. Für sich genommen, können sie Cyberangriffe aber weder unterbinden noch Unternehmen bei deren Aufarbeitung unterstützen. Beim Thema Cybersicherheit geht es immer auch um Menschen und deren Fähigkeiten – insbesondere die Fähigkeit in Krisensituationen zusammenzuarbeiten. Um nachhaltige Cyber-Resilienz aufzubauen, braucht es einen innovativen Ansatz. Dieser beinhaltet, dass Mitarbeitende im Ernstfall das Know-how und Vertrauen in sich und ihre Fähigkeiten besitzen, um schnell und effektiv auf Cyberbedrohungen zu reagieren.

Die Workforce nimmt im Rahmen von Sicherheitsvorfällen nach wie vor eine Schlüsselrolle ein – sei es durch die Weitergabe sensibler Daten an Dritte oder durch einen unbedachten Klick auf einen Link in einer Phishing-Mail. Laut dem Verizon Data Breach Investigations Report 2022 ist bei 82 Prozent der Sicherheitsvorfälle eine menschliche Komponente beteiligt. Es ist demnach entscheidend, dass Unternehmen diese Komponente stärker in ihren Cybersicherheitsstrategien berücksichtigen. Bei der menschlichen Komponente der Cybersicherheit geht es allerdings nicht um Individuen – es ist Teamsache.

Die einzelnen Teams spielen innerhalb des Unternehmens verschiedene Rollen. Das reicht vom Vorstand, der ein potenzielles Risiko einschätzen und angemessen darauf reagieren muss, bis hin zu Security-Teams, die bei Alerts umgehend Schritte einleiten müssen. Mitarbeitende im gesamten Unternehmen werden früher oder später unweigerlich mit Phishing- und Social-Engineering-Angriffen konfrontiert. In jedem Team gibt es Menschen mit einzigartigen Stärken und Schwächen. Essenziell für den souveränen Umgang mit Cyberangriffen ist, dass Mitarbeitende zuvor gelernt haben, zusammenzuarbeiten und ihre jeweiligen Schwächen auszugleichen.

Vollumfängliche Vorbereitung anhand verschiedener Szenarien

Die Bedrohung eines Sicherheitsvorfalls ist nicht nur sehr real – erfolgreiche Angriffe sind nahezu unausweichlich und eine Frage des Wann, nicht des Ob. Diese Tatsache führt dazu, dass sich Führungskräfte vermehrt mit der Frage auseinandersetzen müssen, ob ihr Team für den Ernstfall gewappnet ist. Die Antwort darauf finden sie allerdings nicht in den Ergebnistabellen der letzten Security-Schulung. Um ein Bild davon zu bekommen, wie sich ein Team in einer Krisensituation oder bei einem Sicherheitsvorfall verhält, müssen alle Mitarbeitenden anhand realitätsnaher Szenarien, die echte Bedrohungen simulieren, getestet werden.

Unternehmen können es sich nicht mehr leisten, in kostspielige traditionelle Cybersicherheitsschulungen zu investieren. Stattdessen sollten sich Führungskräfte verstärkt darauf konzentrieren,

• das Maximum aus ihren technologischen Investitionen herauszuholen, indem sie sicherstellen, dass diese im Krisenfall effektiv genutzt werden.

• dass verschiedene Menschen auch verschiedene Stärken und Schwächen haben. Diese gilt es zu identifizieren. Mitarbeitende müssen lernen, zusammenzuarbeiten, um die jeweiligen Schwächen auszubalancieren.

• ihre Teams kontinuierlich zu schulen – und zwar so lange, bis nachgewiesen werden kann, dass sie aktuellen und neu aufkommenden Bedrohungen standhalten können. Das erfordert realitätsnahe Simulationen von Sicherheitsvorfällen für alle Unternehmensbereiche, von technischen Teams bis hin zur Führungsebene.

Ein mitarbeiterzentrierter Ansatz ist nicht mehr nur eine Option. Vorstandsebene und Kunden verlangen mittlerweile einen Einblick in die Cybersicherheitsrisiken und fordern Nachweise über die Cyber-Resilienz eines Unternehmens ein. Regierungen setzen Standards durch, die vor einigen Jahren noch undenkbar waren, und die Auflagen, die damit einhergehen, werden immer komplexer.

Investitionen in Technologien und traditionelle Cybersicherheitsschulungen reichen längst nicht mehr aus, um einen zuverlässigen Schutz zu gewährleisten. Doch mit einem modernen, mitarbeiterzentrierten Cybersicherheitsansatz, der die menschliche Komponente stark miteinbezieht, können Unternehmen das volle Potenzial ihrer Investitionen ausschöpfen und Risiken nachhaltig minimieren.