Wie ist die Sicherheitskultur 2018 in Deutschland aufgestellt und warum steigen die Schäden durch Cyber Attacken immer noch? Wie Sie sich schützen können…

Die rein technische Betrachtung von IT-Sicherheit muss als gescheitert angesehen werden. In den letzten Jahren sind die Ausgaben für IT-Sicherheit konstant gestiegen. Hochrechnungen für das Jahr 2018 zeigen, dass 2018 in Deutschland mit Hardware, Software und Services für IT-Sicherheit voraussichtlich 4,1 Milliarden Euro umgesetzt werden. Dies ist ein Plus von 9 Prozent im Vergleich zum Vorjahr. Trotz dieser enormen Investition steigen die Schäden durch IT-Sicherheitsvorfälle weiter an. Eine aktuelle Untersuchung zeigt, dass in den letzten zwei Jahren sieben von zehn Industrieunternehmen (68 Prozent) Opfer von Wirtschaftsspionage, Sabotage oder Diebstahl geworden sind. Der durch IT-Angriffe entstandene Schaden beziffert sich auf insgesamt 43,4 Milliarden Euro.

IT-Angriffe sind längst zu einem Geschäftsmodell geworden. Wie bei anderen Unternehmungen treffen die Angreifer wirtschaftliche Entscheidungen und wählen ihre Ziele anhand einer klaren Kosten-/Nutzenbetrachtung aus. Da technische Angriffe durch die konstanten Investitionen in Sicherheitssysteme einen zunehmend hohen Aufwand beim Angreifer erfordern, sind diese mittlerweile auf "weiche" Angriffe umgeschwenkt.

Der Faktor Mensch

Die erfolgreichsten IT-Angriffe der letzten Jahre basierten auf dem Human Factor. Trotz eindeutiger Faktenlage fehlt Unternehmen ein klares Bekenntnis zu einer ganzheitlichen Sicherheitskultur. Egal ob Social Engineering, Phishing oder CEO-Fraud, Ziel aktueller Angriffe ist nicht mehr die Technologie, sondern sind die Mitarbeiter eines Unternehmens. Diese müssen daher als wichtigste Partner für eine erfolgreiche IT-Sicherheit gewonnen werden. Selbst in Unternehmen mit umfangreicher technischer IT-Sicherheit ist die jährlich stattfindende Security-Schulung per Webtraining die einzige Schnittstelle der IT-Anwender im Unternehmen mit IT-Sicherheit. Eine erfolgreiche IT-Sicherheit bezieht jedoch das Wissen und Handeln aller Mitarbeiter eines Unternehmens zur IT-Sicherheit mit ein. Die permanente Gewährleistung einer ganzheitlichen Sicherheitskultur ist ein zentrales Instrument des Risikomanagements im Kontext der IT-Sicherheit. Der Faktor Mensch nimmt hierbei eine Schlüsselrolle ein, da er den maßgeblichen Faktor zur Verhinderung erfolgreicher IT-Angriffe darstellt.

Ein erfolgreicher Wandel zu einer Sicherheitskultur beginnt mit der Unternehmensführung, die den Mitarbeiter als zentrales Element in der Sicherheitsarchitektur begreift. Unterstützt von technisch-organisatorischen Maßnahmen ergibt nur der Dreiklang aus Mensch, Organisation und Technik eine ganzheitliche IT-Sicherheitsarchitektur (siehe Abbildung 2).

Sicherheitskultur geht mit organisatorischen Regelungen zum Schutze von Informationen einher und wird von der technischen Seite durch Tools und Systeme unterstützt.

Hierbei sehen wir zwei zentrale Herausforderungen, mit denen Unternehmen konfrontiert sind:

  1. Der Markt bietet eine Vielzahl unterschiedlicher Techniken an. Eine erfolgreiche Unterstützung kann nur durch allumfassende end-to-end Tools erreicht werden (siehe Abbildung 3).
  2. Die immer weiter steigende Anzahl von organisatorischen Regelungen führt zu einer Unklarheit der Relevanz einzelner Regelungen. Nur ein gezieltes Vorgehen, wie in den folgenden Abschnitten beschrieben, kann die erfolgreiche Einführung einer unternehmensumfassenden Sicherheitskultur gewährleisten (siehe Abbildung 4 und Abbildung 5).

Tool-Unterstützung

Der deutsche und internationale Markt zur Bekämpfung von IT-Sicherheitslücken bietet ein breites Spektrum an Tools an. Die im folgenden dargestellten Anwendungen sind nur eine Auswahl vielfältiger Angebote.

Für Bröskamp Consulting sind zwei Punkte wesentlich. Erstens sollte das Trainings-Tool den Anforderungen Ihres Unternehmens und Ihrer Mitarbeiter gerecht werden. Studien haben gezeigt, dass der Grad der Schutzmechanismen in Unternehmen stark variiert. Zusätzlich variieren die Anforderungen zwischen den Abteilungen und den jeweiligen Rollen der Mitarbeiter. Folglich ist es wichtig, gemeinsam ein individuelles Konzept auszuarbeiten.

Zweitens sollte der Erfolg auch sichtbar gemacht werden. Immer häufiger wird beklagt, dass es kaum Möglichkeiten gibt, den Fortschritt bzw. das tatsächliche Sicherheitsverhalten der Mitarbeiter zu messen. Diese Forderung greift Bröskamp Consulting auf und erarbeitet gemeinsam mit Ihnen eine Lösung zur konstanten Messung des Sicherheitsverhaltens im Unternehmen.

In drei Schritten zur Sicherheitskultur

Eine erfolgreiche Sicherheitskultur umfasst das verinnerlichte Sicherheitsbewusstsein aller Mitarbeiter (inklusive dem Security Team) mit dem Ziel eines unbewusst erwünschten Verhaltens. Grundvoraussetzung hierbei ist es, den Arbeitsalltag eines jeden Mitarbeiters nicht zu beeinträchtigen. Um eine erfolgreiche Sicherheitskultur zu erreichen, sind drei Schritte entscheidend:

Schritt 1:
Bei der Security Stufe 1 wird unbewusstes, unerwünschtes Verhalten für den Mitarbeiter bewusst gemacht. Durch ein gezieltes Assessment wird dem Mitarbeiter und dem Unternehmen das aktuelle Maß an nicht sicherheitskonformem Verhalten verdeutlicht.

Schritt 2:
Bei der zweiten Stufe, der Security Stufe 2, wird durch zielgruppenspezifische Trainings erwünschtes Verhalten bewusst gemacht. Dem Mitarbeiter wird beigebacht, wie sicherheitskonformes Verhalten erreicht werden kann.

Schritt 3:
Stufe drei entspricht der „Security Culture“. Ziel hierbei ist es, das erwünschte Verhalten zu internalisieren – ein verinnerlichtes Sicherheitsbewusstsein, welches automatisiert abläuft. Durch motivierende Steuerung und Bereitstellung hilfreicher Informationen wird eine positive Verhaltensänderung aller Mitarbeiter in Bezug auf IT-Sicherheit im Arbeitsalltag herbeigeführt.  

Bröskamp Consulting unterstützt Sie bei der Einführung einer unternehmensumfassenden Sicherheitskultur

Bei der Einführung einer unternehmensumfassenden Sicherheitskultur kombinieren wir die erprobten Methoden unserer Change Management Spezialisten mit dem tiefen Know-How unserer Security-Experten zu einem klar strukturierten, auf das Unternehmen angepassten Programm. Hierbei wird das gesamte Unternehmen berücksichtig: in den jeweiligen Zielgruppen wird die nötige Aufmerksamkeit gewonnen und die Relevanz des Themas bewusst gemacht, um einen zielführenden Selbstüberzeugungs-Prozess bei allen Mitarbeitern in Gang zu setzen.

Wie bereits im vorherigen Abschnitt beschrieben, sind drei Schritte zentral zur Einführung einer Sicherheitskultur. In der folgenden Abbildung 5 finden Sie eine detailliertere Darstellung der Schritte.

An welcher Stelle und wie intensiv Bröskamp Ihnen bei dem Prozess unterstützen kann, besprechen wir gerne mit Ihnen in einem persönlichen Gespräch.

Nehmen Sie Kontakt mit ((name)) auf.