Datendiebstahl, Ransomware-Attacken, DoS-Angriffe – die Liste von Cyber-Risiken, mit denen sich Unternehmen konfrontiert sehen, ist lang. Zu diesen inzwischen beinahe schon altbekannten Bedrohungen sind mittlerweile einige neue hinzugekommen. Christian Schmitz, Head of Technology Deutschland bei Robert Half, erklärt, warum Firmen bei der Auseinandersetzung mit dem Thema Informationssicherheit mehr Aufmerksamkeit schenken sollten.
In diesem Beitrag lesen Sie:
- Cyber-Kriminalität weiter auf dem Vormarsch
- Cyber-Security verständlich machen
- Cyber-Bedrohungen ein Gesicht geben
- Vom Verständnis zum Handeln
Das Thema IT-Security zeigen, dass der Faktor Mensch immer noch eine der größten Schwachstellen ist, wenn es darum geht, Systeme richtig zu schützen. Viele Arbeitnehmer arbeiten heute überwiegend im Home-Office oder remote. Das stellt IT-Abteilungen vor große Herausforderungen. Studien zeigen, dass menschliches Fehlverhalten oft zu Sicherheitsvorfällen führt, sei es durch unbeabsichtigte Weitergabe von Zugangsdaten oder das Öffnen von Phishing-E-Mails. Die neu geformten dezentralen Teams und ein informelleres Umfeld eine größere Angriffsfläche für Cyber-Attacken bieten. Die Unternehmen bessern nach und bereiten sich immer besser auf Angriffe aus dem Netz vor.
Cyber-Kriminalität weiter auf dem Vormarsch
Viele Unternehmen reagieren bereits auf die wachsende Bedrohung: Sie suchen im Markt dezidiert nach Fachkräften, die ihnen dabei helfen, Bedrohungen auf die IT-Infrastruktur des Unternehmens abzuwenden. So entstehen beispielsweise Berufsbilder wie der Cybersecurity-Analyst.
Cyber-Security verständlich machen
Die Problemlösungsstrategie für Unternehmen muss daher von zwei Enden kommend gedacht werden. Auf der einen Seite bedarf es modernster Hard- und Software, um die Systeme bestmöglich zu schützen. Andererseits - und das ist vielleicht der noch wichtigere Part - bedarf es einer passgenauen und umfassenden Mitarbeiterschulung. In ihr müssen Mitarbeiter über aktuelle Cyberbedrohungen informiert werden und lernen, verdächtige Aktivitäten zu erkennen und angemessen zu reagieren. Oft fehlt es an Verständnis für das Problem Cybersecurity.
Das fängt bei der Kommunikation über Sicherheitsrisiken an. Um ein Bewusstsein für die aktuelle Situation zu schaffen, muss darüber in einer Sprache gesprochen werden, die alle Beteiligten verstehen – nicht nur IT-Experten. Und zwar von Top-Entscheider bis – im Idealfall – zum einfachen Anwender.
Immer mehr Unternehmen verfolgen hierbei einen ZERO-Trust-Ansatz: ZERO Trust impliziert, dass keine Annahmen über die Vertrauenswürdigkeit von Benutzern, Geräten oder Systemen getroffen werden sollten, auch wenn sie sich innerhalb des internen Netzwerks befinden.
Im Kern bedeutet dies, dass alle Ressourcen und Aktivitäten innerhalb eines Netzwerks als potenziell unsicher betrachtet werden, unabhängig davon, ob sie intern oder extern sind. Dieses Paradigma erfordert eine strenge Authentifizierung, kontinuierliche Überwachung und Segmentierung des Netzwerks, um den Zugriff auf sensible Daten oder Systeme auf eine minimale und kontrollierte Weise zu gewähren.
Im Gegensatz zum traditionellen Ansatz, der auf einem "Vertrauen, aber überprüfen"-Modell beruht, stellt ZERO Trust sicher, dass die Sicherheit auf allen Ebenen konsequent gewährleistet wird, um potenzielle Angriffe zu minimieren und die Netzwerksicherheit zu stärken. ZERO Trust stellt also ganz bewusst die Anwender im Unternehmen in den Fokus und schult die Sensibilisierung.
Cyber-Bedrohungen ein Gesicht geben
Personas sind vielen vor allem aus dem Marketing und im UX-Design ein Begriff. Solche Prototypen-Modelle funktionieren aber auch in der IT. Sogenannte Threat Actor Personas können helfen, Sicherheitsrisiken besser zu verstehen und auch IT-Laien einen besseren Zugang zum Thema zu verschaffen. Denn aktuelle Cyber-Bedrohungen kommen vielfach gar nicht von außen, sondern lauern in der eigenen Belegschaft. Das ist Unternehmensverantwortlichen oftmals nicht richtig bewusst.
Typische Threat Actors sind beispielsweise
- der wohlmeinende Nutzer: Der klassische Fall von “das Gegenteil von gut ist gut gemeint.” Engagierte Mitarbeiterinnen und Mitarbeiter, die unbedingt große Dokumente mit einem Kunden austauschen möchten und auf eigene Faust einen Datentransferdienst finden, der ihnen dies ermöglicht. Das ist aber alles andere als sicher.
- der opportunistische Insider: Gefährliches Halbwissen ist ein internes Sicherheitsrisiko. Mitarbeiter, die zwar Sicherheitsbeschränkungen grundsätzlich respektieren, doch wenn sie Schlupflöcher kennen, die ihnen die Arbeit erleichtern, nutzen sie diese bereitwillig. Und das, obwohl ihnen durchaus bewusst ist, dass sie damit womöglich Security-Richtlinien untergraben.
- der einfache Cyberkriminelle: Selbst vermeintlich simple, leicht zu durchschauende kriminelle Methoden wie Phishing oder SEO-Fraud können Unternehmen enormen Schaden zufügen. Und entgegen der verbreiteten Meinung vieler Entscheider, dass die eigenen Mitarbeiter nicht auf derartige Betrugsversuche hereinfallen würden, sind diese häufig gar nicht so einfach zu durchschauen.
- hochentwickelte Cyberkriminelle: DoS-Attacken, Ransomware-Erpressung und Industriespionage durch organisierte Cybercrime-Syndikate – solch professionellen Cyber-Bedrohungen fürchten viele Unternehmensentscheider am meisten. Die Sorge ist allerdings oft diffus und das reale Risiko für sie nur schwer einzuschätzen.
In der Beratungspraxis von Robert Half, aber auch bei unserem Schwesterunternehmen Protiviti, lässt sich immer wieder feststellen, dass Top-Entscheider, die letztendlich die Verantwortung für diese Risiken tragen, erheblich besser mit solchen Personas umgehen können als mit technischen Frameworks wie der Kill Chain. Sie erleichtern das Definieren von Risikoszenarien enorm.
Vom Verständnis zum Handeln
Die Risikobewertung setzt nicht nur den Handlungsrahmen für die nächsten Schritte. Selbstverständlich müssen geeignete Maßnahmen getroffen werden, sobald die Schwachstellen identifiziert sind. Das beschränkt sich oftmals nicht nur auf technische Lösungen. So kann beispielsweise auch die Einführung von neuen Regeln und gegebenenfalls auch zusätzlichen Freigabeprozessen ein probates Mittel sein, um auf interne Cyber-Risiken zu reagieren.
Das Arbeiten mit den oben beschriebenen Thread Actors bringt häufig erfreuliche Nebeneffekte mit sich: Sobald Führungskräfte jenseits der IT ein besseres Verständnis für Cyber-Risiken und die Ziele der jeweiligen Akteure entwickelt haben, entsteht ein neues Bewusstsein für IT-Sicherheit. Es ist nicht länger ausschließlich Sache einiger weniger Experten, sondern ein wichtiges Thema, das das gesamte Unternehmen betrifft. Tragen Führungskräfte dies in ihre jeweiligen Bereiche, wird damit womöglich ein wichtiger Grundstein für die Eindämmung interne Bedrohungen gelegt.
Im Idealfall setzen sich Teams sogar aktiv mit dem Thema auseinander und können der IT produktiven Input aus der Anwenderperspektive geben. In jedem Fall aber wird so ein gemeinsames Verständnis und ein größeres Bewusstsein für Cyber-Sicherheitsrisiken geschaffen. Das sorgt dafür, dass IT-Security nicht mehr als losgelöstes IT-Thema, sondern im gesamtgeschäftlichen Kontext betrachtet wird. Und das kann Ihr Unternehmen nur voranbringen.
Mit den rasanten Entwicklungen bezüglich IT-Security mitzuhalten, ist für Unternehmen nicht einfach. Die Experten von Robert Half und Protiviti können helfen, Sicherheitsrisiken aufzudecken und Lösungen zu entwickeln. In Kooperation mit den Personalberatern von Robert Half finden Sie exakt die Fachkräfte, die etwaige Kompetenzlücken in Ihrem Unternehmen perfekt füllen.
Bildquelle: © Sigmund - unsplash.com