IT-Security für Manager

Das Thema ist aber schon seit dem ersten Corona-Lockdown im Frühjahr 2020 extrem brisant! Es gab nämlich viele IT-Attacken und Cyberangriffe auf Unternehmen, die leider in den Medien und der Presse wenig bis keinen Widerhall gefunden haben. Viele Unternehmen sind erpresst worden und/oder die Unternehmens-IT wurde beschädigt und das teilweise in einem Ausmaße, dass parallel zur alten, nicht mehr funktionierenden IT eine neue IT-Landschaft in Windeseile und mit enormen Investitionen neu aufgebaut werden musste. Es entstand allein im Jahr 2019 ein Schaden durch Cyber- bzw. IT_Angriffe von 102,9 Mrd. € (siehe Bitkom-Studie). Die Studie zeigt weiterhin, dass 75% aller deutschen Unternehmen von Cyber-Angriffen bedroht war.

Es geht mir daher in diesem Artikel primär darum, dass die Geschäftsleitungen das Thema nicht nur als wichtig erkennen, sondern auch ins Handeln kommen. Und das Handeln ist schwierig, denn es geht beim Thema IT-Security schnell sehr um technische Details. Genauso schnell ist dann der Vorstand oder Geschäftsführer „raus aus dem Spiel“, da er oftmals nur „böhmische Dörfer“ versteht und aus diesem Grunde in den meisten Fällen keine echte Entscheidungsgrundlage für das Thema IT-Security existieren. Was dann oft passiert, sind „Hau-ruck-Aktionen“ zumeist in der Optimierung der IT-Infrastruktur. Das ist per se nicht verkehrt und oftmals ist diese schon lange vor sich hergeschobene Investition durchaus richtig.

Aber helfen diese Aktionen wirklich, so dass die Gefahr eines Cyber- bzw. IT-Angriffs effektiv gesenkt wird?

Was ich selbst aus der Vogelperspektive als CIO oder Geschäftsführer gelernt habe, ist, dass es nicht nur um die Technik geht, sondern auch und vor allem um die Mitarbeiter. Denn viele Angriffe erfolgen nicht direkt an der Schnittstelle zur IT-Infrastruktur, sondern treffen als harmlose Email getarnt einen Mitarbeiter Ihres Unternehmens. Das fällt im Fachjargon dann oft unter „Social Engineering“. Ihre Mitarbeiter werden manipuliert, um an sensible Informationen zu kommen, mit denen dann in einem weiteren Schritt zum Beispiel Schadsoftware auf die Firmenrechner gebracht werden kann. Laut Bitkom war in 2019 jedes fünfte Unternehmen davon betroffen.

Ein weiteres Angriffsziel ist ebenfalls noch sehr analog: Es werden IT- oder Telekommunikationsgeräte entwedet sowie sensible physische Dokumente, Maschinen oder Bauteile werden gestohlen (Laut Bitkom-Studie ca ein Drittel aller Unternehmen sind davon betroffen). Auch hier spielt der Faktor Mensch/Mitarbeiter eine große Rolle und nicht die IT-Infrastruktur als solches.

Was sind also die Stellhebel in puncto Mitarbeiter und wie können sie für diese Art von Angriffen sensibilisiert werden?

Das Stichwort lautet „Security Awareness“! Und auch der Bitkom-Vorsitzende Berg schreibt in der oben zitierten Bitkom-Studie: „Gut geschulte Mitarbeiter sind der effektivste Schutz. So lässt sich unbeabsichtigten Schäden vorbeugen, Angriffe von außen werden besser abgewehrt und sind sie doch erfolgreich, lässt sich schnell gegensteuern“.

Diese Security Awareness wird idealerweise durch Online-Schulungen bereitgestellt. In der Corona-Krise sind viele Mitarbeiter weiterhin im Home Office und auf können sich nicht mal schnell mit dem Sitznachbarn oder der IT austauschen, falls auffällige Emails auftauchen. Gerade deshalb sind auch dieses Jahr solche Online-Trainings ein sehr wirksamer Schutz gegen Cyberangriffe.

Wie sollten solche Online- bzw. Awareness-Trainings aussehen und wer kann dabei helfen?

Zunächst sollten Sie Ihren Datenschutzbeauftragten oder -Experten hinzu ziehen. Denn die Inhalte von Datenschutzschulungen und Security Awareness Schulungen sind oftmals relativ deckungslgleich und die Mitarbeiter fühlen sich schnell „veräppelt“, wenn immer das gleiche geschult wird.

Weiterhin ist es wichtig, dass die Geschäftsleitung vor Start der Schulung ausführlich kommuniziert, warum diese Awareness Schulungen gemacht werden und wie wichtig diese für das Unternehmen sind. Das zeigt Committment des Top-Managements und führt dazu, dass die Schulungen auch wirklich ernst genommen werden. Dann ist es wichtig, dass Sie mit einem Dienstleister oder Trainings-Institut (oder Ihrem Datenschutzexperten) zusammenarbeiten, welches nicht zu technisch unterwegs ist, damit auch jeder Mitarbeiter versteht worum es geht.

In den meisten Fällen gibt es zwei Arten von Awareness-Schulungen. Zunächst die reine Sicherheitsschulung in der es oftmals darum geht, dass Gefahrenquellen wie Datenspeicher, E-Mails, Identitätsdiebstahl, Umgang mit mobilen Geräten, Passwortsicherheit, Phishing und der Umgang mit sozialen Netzwerken genau erklärt wird.

Es hat sich als wichtig herausgestellt, dass diese Schulungen nicht „von der Stange“ kommen, sondern den Prozessen des Unternehmens angepasst werden und auch die Verhaltensregeln der Unternehmens-Compliance entspricht. Suchen Sie sich daher einen Anbieter, der dies gebührend berücksichtigt.

Zum Schluss: Drei goldene Regeln im Umgang mit Cybersecurity für die Geschäfsleitung

1. Kommunikation: Nicht nur die it und die Geschäftsleitung sollten aktuelle Sicherheitsbedrohungen kennen und verstehen, sondern alle Mitarbeiter sollen informiert und sensibilisiert sein
2. Kultur: Ziel der Geschäftsführung sollte es sein, dass eine Kultur im Unternehmen geschaffen wird zum bewussten Umgang mit Informationen und Daten
3. Ständige Awareness: Alle Mitarbeiter sollten zu aktuellen Bedrohungen regelmäßig sensibilisiert werden durch Online-Schulungen und eine entsprechende Kommunikation.

Das Thema IT-Security und Cyberangriffe muss wirklich Top-Down verstanden und geführt werden. Ich hoffe, Ihnen auf diesem Wege ein paar erste Impulse mit diesem Artikel gegeben zu haben. Wenn Sie Fragen haben, melden Sie sich gerne und ich kann gerne auch in meinem Netzwerk weitergehende Experten empfehlen.

Herzliche Grüße

Ihr Volker Johanning

Ähnliche Blogbeiträge zum Weiterlesen: