2020/9 | Fachbeitrag | Digitalisierung

IT-Sicherheit - auch im Homeoffice

Die Digitalisierung bringt nicht nur Vorteile, sie ermöglicht auch Sicherheitslücken - der menschliche Faktor ist dabei zum höchsten Risiko geworden. Obwohl Mitarbeiter sich Cyberrisiken bewusst sind und Cybersicherheit verstehen, unternehmen sie nicht die notwendigen Schritte, um ihre persönlichen oder Arbeitsdaten zu sichern. Das offenbarte kürzlich der dritte globale Report "Psychologie der Passwörter" von LastPass. Tatsächlich wissen 94 Prozent der Befragten aus Deutschland, dass die Wiederverwendung eines Kennworts unsicher ist, aber überwältigende 66 % verwenden immer noch dasselbe Kennwort.

Bildquelle: (C) Christoph Meinersmann auf Pixabay

Durch diese Denke und die Freiheit, wo und wie der Mitarbeiter arbeitet in Kombination mit der Vermischung privat wie beruflich genutzter Devices und Apps, bleiben Unternehmen angreifbar. Die Schaffung einer Sicherheitskultur ist also unerlässlich für den erfolgreichen Fortbestand jedes Unternehmens.

Sicherheitsdenken kennt keine Hierarchieebenen

Sicherheit kann nicht erfolgreich umgesetzt werden, wenn nicht alle Beteiligten an Bord sind. Das muss jedem Unternehmen und der Geschäftsleitung bewusst sein. Es braucht eine gemeinsame Anstrengung, die alle Hierarchieebenen gleichermaßen einbezieht. Jeder einzelne im Unternehmen muss sich an die Sicherheitsziele und -richtlinien halten und sie verstehen. Das Top-Management geht dabei mit gutem Beispiel voran, damit Sicherheit nachhaltig Erfolg hat. Das Security- oder IT-Team ist dabei für die multidirektionale Kommunikation des Sicherheitsprogramms zuständig. Das heißt, es arbeitet hierarchisch gesehen von oben nach unten, von unten nach oben und von einer Abteilung zur anderen, um die Leitlinien zu vermitteln.

IT-Teams müssen die Sprache der Mitarbeiter sprechen

Mitarbeiter müssen Sicherheit als Enabler oder gar Produktmerkmal betrachtet. Sie bei neuen Sicherheitssystemen, -konzepten und -richtlinien vor vollendete Tatsachen zu stellen, fördert nur Argwohn und Unverständnis. Aufklärung und Transparenz sind die Lösung für einen nachhaltigen Change-Prozess. Es gilt, die Mitarbeiter in Verantwortung zu nehmen, ihnen auf Augenhöhe zu begegnen. Und ihnen klar zu machen, dass sie durch ein höheres Sicherheitsbewusstsein Freiheit gewinnen, nicht verlieren.

Generationsgerechte Kommunikation

Jeder Mensch lernt dabei anders; einige sind empfänglicher für visuelle oder auditive Inhalte, andere präferieren praxisorientierte Ansätze, lustige oder ernsthafte Lerninhalte. Trotz dieser Differenzen ist die Bereitstellung einer konsistenten Kommunikation der Schlüssel zu einem starken Bewusstsein. Unternehmen sollten sich dabei darauf fokussieren, Sicherheitsschulungen und -materialien generationsgerecht auf verschiedenen Kanälen bereitzustellen, um jeden Lerntypus unter den Mitarbeitern zu erreichen. Zudem hilft es, Mitarbeiter beispielsweise bei Videoproduktionen und Wettbewerben frühzeitig einzubeziehen.

Sicherheit spielerisch vermitteln

Richtlinien lassen sich durch Schulungen und regelmäßige Trainings in den Köpfen der Mitarbeiter verankern und auffrischen. Am besten geschieht dies spielerisch durch Storytelling in Form kleiner Filme, die Bedrohungsszenarien wiedergeben - mit einem kurzen abschließenden Test, der den Lerninhalt bei den Mitarbeitern abfragt. Auch Escape-Rooms sind eine moderne spielerische Form, um Sicherheitswissen zu testen. Darin werden Mitarbeiter mit Sicherheitslücken konfrontiert, die nur durch richtiges Handeln gestopft werden können. Erst dann öffnete sich wieder die Tür. Diese lassen sich nicht nur im Büro, sondern auch virtuell umsetzen. Hinter der letzten "Tür" wartet dann nicht die "Freiheit", sondern ein digitales Feuerwerk mit Urkunde.

Sicherheit ist kein Projekt, sondern ein Prozess

Eine einmalige Sicherheitsschulung - wenn diese auch flächendeckend durchgeführt wird - bleibt nicht im Gedächtnis haften. Die Erschaffung und Aufrechterhaltung einer Sicherheitskultur ist eine sich ständig weiterentwickelnde Mission. Aufklärung und Schulungen zu aktuellen Bedrohungen und Sicherheitsrichtlinien sollten nicht die Ausnahme, sondern die Regel werden.

Der Autor:

Gerald Beuchelt ist als Chief Information Security Officer bei LogMeIn für das gesamte Sicherheits-, Compliance- und technische Datenschutzprogramm des Unternehmens verantwortlich. Mit mehr als 20 Jahren Erfahrung im Bereich Informationssicherheit ist er Mitglied des Board of Directors und IT-Sector Chief für den Bostoner Ortsverband von InfraGard. In seiner früheren Funktion war er Chief Security Officer bei Demandware. Er hat einen Master of Science-Abschluss in theoretischer Physik.

 

 

Diese Artikel könnten Sie auch interessieren

Cyber-Angriffe: Wo lauern die Gefahren?

WISSENplus
Nicht nur von Privatpersonen, sondern auch von Unternehmen wird die Bedrohung durch Netzangriffe immer noch stark unterschätzt. Fehlendes Wissen und die Scheu vor einem hohen finanziellen Aufwand sind dabei nur einige Aspekte, die hier ausschlaggebend sind. Dabei ist es möglich, durch die Beachtung einiger wichtiger Grundregeln und durch eine professionelle Beratung, das Risiko, Opfer eines solchen Angrif...

Weiterlesen

DSGVO: Das Recht auf Löschung - Einfallstor für Bußgelder?

WISSENplus
Am 25. Mai 2018 tritt die EU-Datenschutzgrundverordnung in Kraft. Mit ihr gehen einige Neuerungen auch bezüglich des Rechts auf Datenlöschung einher. Unternehmen sollten diese dringend berücksichtigen, da das Recht auf Datenlöschung als „Recht auf Vergessenwerden“ in einem Verfahren gegen Google erhebliche mediale Aufmerksamkeit erfuhr und daher unter erhöhter Aufsicht der Behörden stehen dürfte....

Weiterlesen

Vertrauen ist gut - Kontrolle ist besser: (Daten-)Sicherheit im Einkaufsprozess

WISSENplus
Der Einkaufsprozess bietet Unternehmen und seinen Angestellten in der Regel einen relativ großen Spielraum – nicht nur bei der Optimierung der unternehmenseigenen Aufwendungen, sondern häufig auch beim Ausreizen des „Machbaren“. Gesetzliche und interne Regelungen werden bewusst überschritten, wobei Unregelmäßigkeiten oftmals erst bei Hinweisen von außen nachgegangen wird, so dass bis zu einer st...

Weiterlesen

End-of-Life-Management: Sensible Daten zuverlässig & revisionssicher löschen

WISSENplus
Das richtige Handling der immer schneller anwachsenden digitalen Datenmengen ist in Zukunft ein wichtiger Faktor für den unternehmerischen Erfolg, vor allem wenn es sich um sensible Geschäfts- und Personendaten handelt. Ein professionelles Datenmanagement geht dabei bereits heute weit über das reine Speichern und Verwalten der Daten während ihres Lebenszyklus hinaus und betrifft, u.a. aus rechtlichen Gr...

Weiterlesen

Flexibel & vielschichtig: IT-Sicherheit aus der Cloud

WISSENplus
Viele IT-Sicherheitskonzepte sehen vor, dass die Grenzen des Unternehmensnetzes von innen nach außen geschützt werden – Firewalls, Antivirensoftware oder Intrusion-Prevention-Systeme gelten als Mittel der Wahl. Cyber-Attacken aber sind heute viel zu raffiniert und erfordern neue Schutzmechanismen. Im Unterschied zu internen Lösungen erweisen sich Security-Services aus der Cloud als flexibler und effizi...

Weiterlesen

Sicherheitsanalyse, Penetrationstests & Co.: Mit Hacker-Wissen gegen Cyber-Attacken

WISSENplus
Hacker-Angriffe können jede Organisation treffen, die ein Netzwerk mit Anbindung an das Internet oder einen Webshop betreibt oder mit Wartungsdienstleistern, Zulieferern oder Partnern effizient zusammen arbeiten will. Auch interne Angriffe durch böswillige Mitarbeiter oder instrumentalisierte Dienstleister sind eine reale Bedrohung. Doch diesen Risiken sind Unternehmen nicht schutzlos ausgeliefert. Firmen...

Weiterlesen

Digitale Transformation: Modebegriff sucht Sicherheit

WISSENplus
Die „digitale Transformation“ ist einer der aktuell weitverbreiteten Modebegriffe. Wirtschaft, Wissenschaft und Politik gebrauchen ihn zu jedem erdenklichen Zeitpunkt – für fast alle Arbeits- und Lebensbereiche. Denn es geht vor allem darum, die digitalen Vorzüge von Industrie 4.0 samt Internet der Menschen, Dienste und Dinge zu postulieren. Einige Beispiele: Die CeBIT-Macher sprachen in diesem Jahr...

Weiterlesen

Effektiver Schutz vor Cyber-Kriminalität muss nicht teuer sein

WISSENplus
Russische Hacker attackierten bei einer Serie von Cyber-Angriffen etwa 420.000 Websites und stahlen rund 1,2 Milliarden Nutzernamen und Passwörter. Diese Meldung sorgte in der Internetgemeinde Anfang August für Wirbel. Aber das wirklich Erschreckende daran ist die Tatsache, dass solche Nachrichten anscheinend mittlerweile zu unserem Alltag gehören....

Weiterlesen