16. April 2018

Cybersicherheit muss Geld kosten dürfen

Professionelle Angreifer nehmen nicht die Firewall von Unternehmen, sondern deren Mitarbeiter ins Visier. Daher muss der Faktor Mensch fester Bestandteil eines Cybersicherheits-Konzepts sein – ist es aber in der Regel nicht. Das zu ändern ist Aufgabe der Geschäftsführung, weil es Geld kostet. Und weil sich meist die Unternehmenskultur entsprechend verändern muss.

Der Faktor Mensch ist mitentscheidend für die Cybersicherheit eines Unternehmens zoom Der Faktor Mensch sollte fester Bestandteil jedes Cybersicherheits-Konzepts sein

Für Führungskräfte geht es nicht nur um ihre persönliche Haftung bei Datenpannen – die EU-Datenschutzgrundverordnung lässt freundlich grüßen. Sie spielen auch in Sachen Unternehmenskultur eine entscheidende Rolle. Das fängt schon mit der Relevanz des Themas Cybersicherheit an: Sieht die Führungsetage Cybersicherheit als Bremsklotz und Kostentreiber, sind Sicherheitslücken vorprogrammiert. Erst wenn das Thema von den Entscheidern als tragende Säule des geschäftlichen Erfolgs erkannt und auch ins Unternehmen kommuniziert wird, lassen sich wirksame Schutzmaßnahmen ergreifen.

Wenig zielführend ist es auch, wenn die Geschäftsführung einen fachlich nicht hinreichend qualifizierten Mitarbeiter zum Chief Information Security Officer (CISO) oder Datenschutzbeauftragten ernennt. Dies sendet einerseits keine Botschaft des Vertrauens in Richtung Belegschaft und schwächt die Cybersicherheit andererseits an zentraler Stelle.

Der geeignete Kandidat ist ein guter Kommunikator, hat Verständnis für Geschäftsprozesse und muss kein Hardcore-Technikfreak sein. Für viele Cyber Security-Experten gilt als ausgemacht, dass der CISO keinesfalls in der IT-Organisation angesiedelt sein sollte und den CIO (Chief Information Officer) als Chef vorgesetzt bekommen sollte. Dies führt oft zu einer Beißhemmung des CISO, wenn es darum geht, Schwachstellen in der IT-Infrastruktur aufzuspüren. Man will ja nicht als Nestbeschmutzer auftreten. Geschickter ist es, den Cybersicherheits-Verantwortlichen direkt an den Unternehmenschef berichten zu lassen.

Damit der CISO – und mit ihm die ganze Organisation – Erfolg hat, müssen Entscheider zu ihren Wissen- und Verständnislücken stehen. Andernfalls laufen sie Gefahr, falsche beziehungsweise wirkungslose Entscheidungen zu treffen. Gehen sie jedoch mit gutem Beispiel voran, sinkt auch in der Belegschaft die Hemmschwelle, Unwissen zuzugeben.

Einer der wichtigsten Aspekte ist deshalb das Schaffen einer positiven Fehlerkultur: Nur wenn Mitarbeiter nach dem versehentlichen Klick auf einen vergifteten E-Mail-Anhang oder der Preisgabe ihrer Login-Daten auf einer Phishing-Seite weder Tadel, Abmahnung oder gar Kündigung fürchten müssen, melden sie solche Vorkommnisse an die Cybersicherheits-Kollegen im Haus. Und nur wenn die vom Klick erfahren, können sie das betroffene Nutzerkonto schützen – und somit das ganze Unternehmensnetzwerk. Herrscht hingegen ein von oben verordnetes Klima der Angst, erfahren CISO und Chefetage erst vom fatalen Klick, wenn die digitalen Kronjuwelen längst kopiert sind.

Damit Mitarbeiter ihre Rolle als Multiplikator auch ausfüllen können, müssen sie dazu in die Lage versetzt werden: durch Schulungen und Awareness-Programme. Beides Maßnahmen, die Geld kosten dürfen und müssen. Womit sich der Kreis schließt: Rangiert Cybersicherheit nicht in der Kategorie „unliebsame Pflicht“, sondern gilt wie beispielsweise das Marketing oder die Produktentwicklung als Grundlage für den Geschäftserfolg, finden Entscheider auch für Schulungen ein Budget.

Auf der Command Control 2018 wurde die Rolle der Unternehmenskultur für die Cybersicherheitsstrategie von Unternehmen in der Themenwelt Human Factor behandelt.


Foto: pexels.com