Die Cybersicherheit befasst sich nicht mehr mit dem reinen technologischen Risiko, das in die ausschließliche Zuständigkeit der IT-Abteilung fällt: Eine Verletzung der Systeme kann den Betrieb des Unternehmens beeinträchtigen und schwerwiegende wirtschaftliche Folgen haben. Die Reputation der Firma und der Marke steht auf dem Spiel. Somit können die negativen Begleiterscheinungen einer Cyberattacke weit über die Behebung der Cyberunfallschäden hinausgehen.
Empfehlungen wie die BSI-Standards enthalten wertvolle Anregungen für Sicherheitskonzepte. Letztendlich muss aber jedes Unternehmen seine eigene Verteidigungsstrategie entwickeln. In den auf it-daily.net erschienenen Interview spricht Uwe Gries, Country-Manager DACH bei Stormshield, über die drei Fronten der IT-Sicherheit.
Mitarbeiter als erste Verteidigungslinie
Einigen Marktstudien zufolge sind etwa zwei Drittel der IT-Sicherheitsunfälle auf falsche Verhaltensweisen der Angestellten und Mitarbeiter zurückzuführen. Sind Sie mit denjenigen einer Meinung, die behaupten, dieses Risiko sei überdimensioniert, weil es die Auswirkung der von der IT und dem Management verursachten Schäden nicht berücksichtigt?
Uwe Gries: „Je fortschrittlicher die in Unternehmen eingesetzten Technologien sind, desto höher ist paradoxerweise das Risiko des menschlichen Versagens als Auslöser für einen Sicherheitsunfall. Die Bestimmung des Anteils vom bloßen «menschlichen Faktor» an den Cybersicherheitsunfällen und seine anschließende Verallgemeinerung sind allerdings eine rein theoretische Aufgabe, die jeder Realitätsnähe entbehrt. Grund: Die wesentliche Berechnungsvariable – ergo der Faktor «technologischer Zustand des Unternehmens» –, die man dagegensetzen sollte, ist und bleibt unbestimmt. Tatsache ist, dass das menschliche Versagen in puncto Cybersicherheit immer mehr Aufsehen erregen wird, weswegen wir davon ausgehen, dass die persönliche Haftung bei Cybersicherheitsvorfällen noch früher in die Gesetzgebung mit einfließen wird, als uns lieb ist.“
Worauf kommt es an, wenn ein Unternehmen das Security-Bewusstsein sowohl seiner Mitarbeiter als auch des Managements stärken möchte?
Uwe Gries: „Jedes Unternehmen hat eine eigene Hierarchie und führt Sicherheitsmaßnahmen unterschiedlich ein. Dies darf aber nicht dazu führen, dass Mitarbeiter nur teilweise oder nach Bereichen gegen Sicherheitsrisiken sensibilisiert werden: Es bringt nicht viel, sich bei den Maßnahmen zur Förderung einer korrekten Wahrnehmung der Sicherheitsrisiken auf wenige «geschäftskritische» Funktionen zu beschränken, wenn dann die wohlwollende Assistentin dem Chefbetrug zum Opfer fällt, der Außendienstmitarbeiter ungeschützt den Bedrohungen von öffentlichen Hotspots ausgesetzt wird oder der Lagermitarbeiter den einer Mail beigefügten Lieferschein zu einer vermeintlichen Bestellung öffnet, der das Firmennetzwerk mit Ransomware infiziert. Zur Entwicklung einer unternehmensweiten Cybersicherheitskultur sollten deshalb alle Mitarbeiter in die Sicherheitsprozesse involviert werden, allerdings haben die Human-Resources-Abteilung und das IT-Management die schwierige Aufgabe, Inhalte so zu vermitteln, dass die einzelnen Mitarbeiter diese zu 100 % verstehen und sie als relevant fürs eigene Tagesgeschäft einstufen.“
Die Faktoren Kapital und Technologien
Folgende Fragen zu den Faktoren Kapital und Technologien beantwortet Uwe Gries ebenfalls in dem Interview:
- Firmen geben immer mehr Geld aus, um sich vor Cyberbedrohungen zu schützen. Aber auch die Investitionen in Risikotransfermaßnahmen wachsen. Wie interpretieren Sie diesen Trend? Zeigt er eine Reife der Unternehmen oder eher deren Versäumnis, sich vollständig an eine Risikoeindämmungsstrategie zu wagen.
- Über drei Viertel der Unternehmensinvestitionen für Cybersicherheit fließen in IT- und operative Lösungen. Das ändert jedoch nicht viel an der typischen Wahrnehmung der meisten Firmen, dass sie immer noch anfällig für Angriffe seien. Inwieweit ist dies eine falsche Einschätzung des Niveaus des spezifischen technologischen Risikos?
- Es ist nicht nur ein Gefühl, ständig wechselnden Bedrohungen ausgesetzt zu sein, sondern durchaus Realität. Wie reagieren Unternehmen angemessen auf täglich neue Varianten von Angriffen?
- Einige Experten glauben, dass eine Verknüpfung zwischen IT-Strategien und verschiedenen Funktionen im Unternehmen unerlässlich sei, um eine nahezu symbiotische Beziehung zwischen Menschen und Technologien zu entwickeln. Was halten Sie davon?
- In den Unternehmen wächst die Armada der Cybersecurity-Anwendungen, und Mitarbeiter wie auch ihre Chefs schärfen ihr Security-Bewusstsein. Trotzdem fehlen häufig klare Sicherheitsstrukturen und -konzepte. Was raten Sie Unternehmen in solch einer Situation?
https://www.it-daily.net/it-sicherheit/enterprise-security/22813-die-drei-fronten-der-it-sicherheit-mensch-technologie-und-kapital
Weitere Informationen:
https://www.it-daily.net
Ansprechpartner:
Ulrich Parthier
it Verlag GmbH, Rudolf-Diesel-Ring 21, 82054 Sauerlach
Telefon: +49-8104-649414, E-Mail: u.parthier@it-verlag.de