Bei Cybersecurity geht es nicht um Technik, sondern um Menschen
In diesem Artikel gehen wir den Fragen nach, wieso es bei Cybersecurity tatsächlich eher um Menschen als um Technik geht und wie Unternehmen den so wichtigen Faktor Mensch wieder in den Mittelpunkt rücken können.
Wieso ist Cybersicherheit nicht allein mit Technologie umsetzbar?
Die Hauptaufgabe von Cybersecurity besteht darin, ein Unternehmen – und die dafür arbeitenden Personen – vor technischen Störungen zu schützen, damit es weiter seine Waren und Dienstleistungen bereitstellen, Umsätze erzielen und finanziellen Verlust vermeiden kann. Anders gesagt: Cyberkriminalität zielt eigentlich auf Personen und Unternehmen ab und die Technik ist lediglich das Medium, das für die Angriffe verwendet wird. Folglich dient Cybersecurity nicht dem Schutz von Technik, sondern von Menschen.
Dennoch verfolgen viele Unternehmen hinsichtlich Cybersicherheit einen übermäßig technokratischen Ansatz und verlassen sich auf die modernsten und größten technischen Lösungen, um ein im Grunde überaus menschliches Problem zu lösen. Es steht außer Frage, dass Technologie bei der Abwehr von Cyberbedrohungen eine überaus wichtige Rolle spielt. Gute Cybersecurity wird jedoch nicht allein durch Technik, sondern erst durch die Menschen ermöglicht.
Wie lässt sich der Faktor Mensch wieder in den Mittelpunkt rücken?
Unternehmen, die den Faktor Mensch bei ihrer Cybersicherheit nicht berücksichtigen, laufen Gefahr, das „Gesamtbild“ aus den Augen zu verlieren und zu sehr auf technische Lösungen zu vertrauen. Diese sind zwar im Kampf gegen Cyberbedrohungen unerlässlich, aber eben keine vollkommene Allzweckwaffe.
Mit den folgenden vier Tipps können Sie die Verantwortung für die Cybersicherheit in Ihrem Unternehmen besser verteilen:
1. Pflegen Sie eine Kultur des Risikomanagements.
In einem typischen Unternehmen gilt es für die meisten Angestellten, ihre Vorgaben und Fristen zu erfüllen. Für sie gehört Cybersicherheit in der Regel nicht zu ihrem Aufgabenfeld und sie sehen sich folglich nicht dafür verantwortlich. In vielen Fällen wird sie sogar eher als Bürde angesehen, die sie bei ihrer Arbeit nur behindert. Finden sich dann auch noch Wege, um die Sicherheitsmaßnahmen zu umgehen, werden diese gerne genutzt.
Vorschriften sind nicht motivierend und Technologie allein kann das Cybersicherheitsproblem nicht lösen. Daher müssen Unternehmen eine Kultur des Risikomanagements schaffen, die alle Mitarbeiter erreicht – von den Praktikanten bis hin zur Geschäftsführung. Das Ziel besteht darin, jedes Teammitglied im Unternehmen dazu zu animieren, Cyberbedrohungen abzuwehren und Cybersecurity als gemeinsame Angelegenheit anzuerkennen, für die alle verantwortlich sind.
Dazu müssen einige Unternehmen möglicherweise ihre Sicherheitsstrategie grundlegend verändern.
Während die Cybersicherheit bisher wahrscheinlich nur der IT-Abteilung überlassen wurde, ist nun eventuell die Personalabteilung mehr einzubeziehen, um auch in den anderen Geschäftsbereichen mehr Akzeptanz und Initiative zu erreichen.
2. Machen Sie Cybersecurity besser verständlich.
Viele Fachbegriffe und unbekannte Abkürzungen rund um Cybersecurity wirken auf Unbedarfte eher langweilig oder abschreckend. Die IT-Teams müssen also ihren „Techsprech“ für die anderen Teams übersetzen, damit alle die Folgen einer Sicherheitslücke verstehen und welche Vorteile die möglichen Lösungen bieten.
Der Hinweis, dass das Unternehmen mehr in EDR oder SIEM investieren sollte, ist für nichttechnisches Personal nicht wirklich aussagekräftig. Es gilt eine konstruktivere Gesprächsgrundlage zu schaffen, beispielsweise indem die möglichen Folgen hervorgehoben werden, wenn zu langsam auf Bedrohungen reagiert wird, und diese als Geschäftsrisiko anstatt lediglich als Cyberrisiko bezeichnet werden. Auf diese Weise kann die Geschäftsleitung bessere informierte Entscheidungen treffen.
3. Das höhere Management muss sich der Risiken bewusst sein.
Entscheidungen zur Cybersicherheit müssen aus der Führungsebene kommen, nicht von der IT-Abteilung. Das hat aber rein gar nichts damit zu tun, dass die IT-Teams keinen guten Job machen würden, sondern weil derartige Entscheidungen ernste Folgen für Geschäft und Betrieb haben können, die weit über die technischen Abteilungen hinausgehen.
Es gibt keine absolute Sicherheit und kein Unternehmen hat die Ressourcen, um jede Schwachstelle abzufangen. Ein gewisses Risiko ist unvermeidbar. Folglich müssen strategische Kompromisse und schwere Entscheidungen getroffen werden. Welche Geschäftsdaten sind am wichtigsten? Welcher Risikograd ist vertretbar? Wie hoch dürfen die Kosten sein? Wie wirken sich die Sicherheitsprozesse auf die Mitarbeiter im Arbeitsalltag aus?
Während es zweifellos unerlässlich ist, dass die IT-Abteilung die Geschäftsleitung bei diesen Überlegungen unterstützt, bleibt die strategische Entscheidungsgewalt jedoch bei letzterer. Cybersecurity ist nicht nur ein technisches Problem, sondern eine betriebswirtschaftliche Angelegenheit. Folglich liegt die Verantwortung dafür, das richtige Gleichgewicht zwischen Sicherheit, Rentabilität und Produktivität zu finden, auch bei der Führungsriege.
4. Führen Sie mit Einfühlungsvermögen.
Niemand ist perfekt. Da eine wirkungsvolle Cybersicherheit wohl oder übel vom Menschen abhängig ist, wird also selbst das am besten auf Cyberbedrohungen vorbereitete Unternehmen einige Risse in seiner Schutzhülle haben.
Unternehmen müssen sich dieser Beschränkungen bewusst und bereit sein, sowohl ihrem technischen Personal als auch denen, die tagtäglich mit den Systemen arbeiten, zuzuhören und sich deren Bedenken, Probleme oder Ratschläge anzunehmen. Ermutigen Sie die Menschen auf allen Unternehmensebenen dazu, Fragen zu stellen und Fehler einzugestehen und nutzen Sie dieses Wissen für zukünftige Sicherheitsentscheidungen.
Fazit
Technologie bietet den Menschen ein Sicherheitsnetz. Benutzer zu informieren wird sie nicht davon abhalten, auf Links zu klicken. Selbst der am besten geschulte Anwender wird irgendwann einmal einen Fehler begehen. Dabei dürfen auch nicht jene Benutzer vergessen werden, die bösartig handeln und absichtlich versuchen, dem Unternehmen, indem sie arbeiten, Schaden zuzufügen. Cybersecurity hilft Unternehmen, sich vor diesen menschlichen Schwächen zu schützen.
Doch selbst sämtliche Technik der Welt kann einen Cyberangriff nicht aufhalten, wenn Ihre Anwender nicht involviert sind. Selbstverständlich spielt Technologie in jeder Cybersicherheitsstrategie eine wichtige Rolle, sie ist jedoch keine Strategie an sich. Indem die Grenze zwischen Cyberrisiko und Geschäftsrisiko zunehmend verschwimmt, müssen Unternehmen akzeptieren, dass Cybersecurity eher eine Frage der Menschen als der Technik ist.
Bei Emsisoft sind wir uns bewusst, welche wichtige Rolle Menschen für eine wirkungsvolle Cybersicherheit spielen. Von der intuitiven Oberfläche unserer Software über die Technologie zum Schutz vor Phishing bis hin zur nicht manipulierbaren mehrstufigen Authentisierung – die Emsisoft-Lösungen wurden unter Berücksichtigung des Faktors Mensch entwickelt. Probieren Sie unsere Software gern einmal über die Testversion aus, die Sie hier herunterladen können.
Übersetzung: Doreen Schäfer