Wenn aufmerksame Mitarbeitende erfolgreiche Cyberangriffe vereiteln, ist das Unternehmen besser geschützt. Doch wie bauen Unternehmen eine solche Sicherheitskultur auf? Zwei Security-Awareness-Fachleute erklären.
Text: Andreas Heer, Bilder: Swisscom
26. September 2023, aktualisiert am 24. Juli 2024
Menschen sind beeinflussbar. Und unter Druck und Stress machen sie – wir alle – Fehler oder werden unvorsichtig. Das nutzen Cyberkriminelle mit Social Engineering aus. Phishing-Kampagnen oder CEO Fraud sind immer wieder erfolgreich. Denn irgendjemand wird schon auf die kriminellen Machenschaften hereinfallen.
Wenig überraschend ist Social Engineering gemäss dem SANS 2023 Security Awareness Report der grösste menschliche Risikofaktor für die Cyberdefence eines Unternehmens. Doch das lässt sich ändern respektive umkehren. Mit einer Sicherheitskultur entwickeln sich Mitarbeitende zur «first line of defence» in der Cybersecurity-Kette.
Die Begriffe Sicherheitskultur, Security Awareness und Sensibilisierung der Mitarbeitenden stehen dabei alle für denselben Prozess: Das Verhalten von Mitarbeitenden im Umgang mit Daten, Informationen und IT-Systemen positiv zu verändern und sie zu befähigen, gewisse Formen von Cyberattacken zu erkennen und richtig zu reagieren. Und damit das Sicherheitsdispositiv aus technischen und organisatorischen Massnahmen durch den Faktor Mensch zu komplettieren.
«Security Awareness zu schaffen, ist eine klassische Präventionsaufgabe», sagt dazu Marcus Beyer, Security-Awareness-Verantwortlicher bei Swisscom. «Es geht darum, die Mitarbeitenden zu sensibilisieren, weshalb Sicherheit – egal ob mit oder ohne «Cyber» – wichtig ist, und ein sicherheitsbewusstes Verhalten im Alltag zu integrieren.»
Diese Aufgabe umfasst eine breite Palette von kommunikativen und Lernmassnahmen. Ziel dieses Security-Awareness-Trainings ist eine Verhaltensänderung bei den Mitarbeitenden – das Security-Bewusstsein soll im Arbeitsalltag möglichst immer mitschwingen. Es ist klar, dass sich diese Aufgabe nicht in einmaligen oder punktuellen Aktionen erschöpfen kann, so Marcus Beyer: «Es braucht Zeit und Ressourcen, um eine Sicherheitskultur aufzubauen – und auch ein bissen Mut, vor allem aber Geduld.»
Auch Monika Geitlinger betrachtet Security Awareness als fortlaufenden Prozess. Als Information Security Officer bei Raiffeisen Schweiz ist sie für Security Awareness zuständig: «Wir prüfen kontinuierlich, ob es neue Schulungsbereiche gibt sowie neue Ansätze, um Inhalte zu vermitteln – damit unsere Mitarbeitenden auch weiterhin gerne mitarbeiten und möglichst optimal vorbereitet sind.»
Unternehmen verfügen aus gesetzlichen und Compliance-Gründen über Regeln zum Umgang mit Daten. Security-Awareness unterstützt die Einhaltung dieser organisatorischen Cybersecurity-Massnahmen, so Marcus Beyer: «Wenn Mitarbeitende für Sicherheitsrisiken sensibilisiert sind, werden sie sich eher an Weisungen und Regeln halten. Weil die Mitarbeitenden nämlich verstehen, warum wir diese Regeln brauchen und weshalb es diese gibt.»
Damit unterstützt die Sicherheitskultur die Schadensminimierung, also das Verhindern erfolgreicher Cyberattacken und Datendiebstählen. «Das ist auch dem Management und der Unternehmensleitung klar: Wenn ich dank einer Sicherheitskultur nur schon einen einzelnen grossen Vorfall verhindern kann, hat sich der Aufwand bereits gelohnt», fasst Marcus Beyer den Nutzen zusammen. Damit ist nicht nur der finanzielle Schaden gemeint, sondern auch der allenfalls viel fatalere Reputations- und Vertrauensverlust.
Doch der Nutzen einer Sicherheitskultur geht über die reine Schadensminimierung hinaus, wie Monika Geitlinger ausführt: «Natürlich ist es ein Ziel, unsere Bank und damit auch die Daten unserer Kunden angemessen zu schützen. Wir bemühen uns jedoch stark darum, ein ganzheitliches Verständnis zum Thema zu erreichen: Weil wir alle auch privat von Cyberkriminalität betroffen sein können, heben wir in unseren Schulungen neben den unternehmerischen Risiken auch immer wieder hervor, wie Mitarbeitende im Privatleben selbst Risiken minimieren können.»
Es ist klar: Mitarbeitende, die den Sinn von Sicherheitsmassnahmen verstehen und ein sicherheitsbewusstes Verhalten an den Tag legen, werden dies überall tun. So ist Security Awareness auch eine Gelegenheit für Mitarbeitende, sich weiterzuentwickeln. Denn das Sicherheitsbewusstsein macht nicht an der Bürotür halt.