Datendiebstahl, Ransomware-Attacken, DoS-Angriffe – die Liste von Cyber-Risiken, mit denen sich Unternehmen konfrontiert sehen, ist lang. Zu diesen inzwischen beinahe schon altbekannten Bedrohungen dürften seit Beginn der Corona-Pandemie einige neue hinzugekommen sein. Kai-Uwe Ruhse, Managing Director im Bereich Technology Consulting beim Beratungsunternehmen Protiviti, erklärt, warum Firmen bei der Auseinandersetzung mit dem Thema Informationssicherheit mehr Aufmerksamkeit schenken sollten.
In diesem Beitrag lesen Sie:
- Cyber-Kriminalität weiter auf dem Vormarsch
- Cyber-Security verständlich machen
- Cyber-Bedrohungen ein Gesicht geben
- Vom Verständnis zum Handeln
Das Thema IT-Security ist für Unternehmen im Zuge der Corona-Pandemie noch stärker in den Fokus gerückt. Die quasi über Nacht erfolgte Verlagerung der Belegschaft ins Home-Office hat IT-Abteilungen vor große Herausforderungen gestellt. Viele Experten befürchteten deutlich mehr Sicherheitsrisiken durch die flächendeckende Remote-Arbeit. Sie halten es für naheliegend, dass dezentrale Teams und ein informelleres Umfeld eine größere Angriffsfläche für Cyber-Attacken bieten. Nach Einschätzung vieler Fachleute haben Unternehmen allerdings auch bezüglich der IT-Sicherheit große Schritte in die richtige Richtung gemacht. Sie werden immer besser darin, Angriffe abzuwehren.
Cyber-Kriminalität weiter auf dem Vormarsch
Dass Cyber-Risiken zugenommen haben, ist kaum von der Hand zu weisen. Interpol geht davon aus, dass Cyber-Kriminelle versuchen, gezielt im Zusammenhang mit Remote-Arbeit entstandene Schwachstellen auszunutzen. In einer Studie aus dem August 2020 prognostiziert die internationale Polizeiorganisation, dass ein weiterer Anstieg der Cyber-Kriminalität in der nahen Zukunft sehr wahrscheinlich ist.
Viele Unternehmen reagieren bereits auf die wachsende Bedrohung: IT-Security und der Schutz von Unternehmensinformationen standen für 44 % der CTOs im ersten Halbjahr 2021 ganz oben auf der Prioritätenliste, wie eine Umfrage von Robert Half ergab.1
Dennoch: Der rasante Digitalisierungsschub birgt Herausforderungen für alle Beteiligten. IT-Experten stehen immer mehr Technologien zur Verfügung, um Unternehmen abzusichern. Das erfordert permanent neue Security-Skills. Auf der anderen Seite wandeln sich auch die Bedrohungen, mit denen sich Unternehmen konfrontiert sehen. Das macht es mitunter schwierig zu erfassen, wie es um die IT-Sicherheit des eigenen Unternehmens bestellt ist.
Cyber-Security verständlich machen
Es geht jedoch nicht nur darum, geeignete technische Lösungen zu finden und zu implementieren. Viele Unternehmen vernachlässigen beim Thema IT-Security einen zentralen Faktor: Das fehlende Verständnis für das Problem. Das fängt bei der Kommunikation über Sicherheitsrisiken an. Um ein Bewusstsein für die aktuelle Situation zu schaffen, muss darüber in einer Sprache gesprochen werden, die alle Beteiligten verstehen – nicht nur IT-Experten. Und zwar von Top-Entscheider bis – im Idealfall – zum einfachen Anwender.
Cyber-Bedrohungen ein Gesicht geben
Personas sind vielen vor allem aus dem Marketing und im UX-Design ein Begriff. Solche Prototypen-Modelle funktionieren aber auch in der IT. Sogenannte Threat Actor Personas können helfen, Sicherheitsrisiken besser zu verstehen und auch IT-Laien einen besseren Zugang zum Thema zu verschaffen. Denn aktuelle Cyber-Bedrohungen kommen vielfach gar nicht von außen, sondern lauern in der eigenen Belegschaft. Das ist Unternehmensverantwortlichen oftmals nicht richtig bewusst.
Typische Threat Actors sind beispielsweise
- der wohlmeinende Nutzer: Der klassische Fall von “das Gegenteil von gut ist gut gemeint.” Engagierte Mitarbeiterinnen und Mitarbeiter, die unbedingt große Dokumente mit einem Kunden austauschen möchten und auf eigene Faust einen Datentransferdienst finden, der ihnen dies ermöglicht. Das ist aber alles andere als sicher.
- der opportunistische Insider: Gefährliches Halbwissen ist ein internes Sicherheitsrisiko. Mitarbeiter, die zwar Sicherheitsbeschränkungen grundsätzlich respektieren, doch wenn sie Schlupflöcher kennen, die ihnen die Arbeit erleichtern, nutzen sie diese bereitwillig. Und das, obwohl ihnen durchaus bewusst ist, dass sie damit womöglich Security-Richtlinien untergraben.
- der einfache Cyberkriminelle: Selbst vermeintlich simple, leicht zu durchschauende kriminelle Methoden wie Phishing oder SEO-Fraud können Unternehmen enormen Schaden zufügen. Und entgegen der verbreiteten Meinung vieler Entscheider, dass die eigenen Mitarbeiter nicht auf derartige Betrugsversuche hereinfallen würden, sind diese häufig gar nicht so einfach zu durchschauen.
- hochentwickelte Cyberkriminelle: DoS-Attacken, Ransomware-Erpressung und Industriespionage durch organisierte Cybercrime-Syndikate – solch professionellen Cyber-Bedrohungen fürchten viele Unternehmensentscheider am meisten. Die Sorge ist allerdings oft diffus und das reale Risiko für sie nur schwer einzuschätzen.
In der Beratungspraxis von Protiviti lässt sich immer wieder feststellen, dass Top-Entscheider, die letztendlich die Verantwortung für diese Risiken tragen, erheblich besser mit solchen Personas umgehen können als mit technischen Frameworks wie der Kill Chain. Sie erleichtern das Definieren von Risikoszenarien enorm.
Vom Verständnis zum Handeln
Die Risikobewertung setzt nicht nur den Handlungsrahmen für die nächsten Schritte. Selbstverständlich müssen geeignete Maßnahmen getroffen werden, sobald die Schwachstellen identifiziert sind. Das beschränkt sich oftmals nicht nur auf technische Lösungen. So kann beispielsweise auch die Einführung von neuen Regeln und gegebenenfalls auch zusätzlichen Freigabeprozessen ein probates Mittel sein, um auf interne Cyber-Risiken zu reagieren.
Das Arbeiten mit den oben beschriebenen Thread Actors bringt häufig erfreuliche Nebeneffekte mit sich: Sobald Führungskräfte jenseits der IT ein besseres Verständnis für Cyber-Risiken und die Ziele der jeweiligen Akteure entwickelt haben, entsteht ein neues Bewusstsein für IT-Sicherheit. Es ist nicht länger ausschließlich Sache einiger weniger Experten, sondern ein wichtiges Thema, das das gesamte Unternehmen betrifft. Tragen Führungskräfte dies in ihre jeweiligen Bereiche, wird damit womöglich ein wichtiger Grundstein für die Eindämmung interne Bedrohungen gelegt.
Im Idealfall setzen sich Teams sogar aktiv mit dem Thema auseinander und können der IT produktiven Input aus der Anwenderperspektive geben. In jedem Fall aber wird so ein gemeinsames Verständnis und ein größeres Bewusstsein für Cyber-Sicherheitsrisiken geschaffen. Das sorgt dafür, dass IT-Security nicht mehr als losgelöstes IT-Thema, sondern im gesamtgeschäftlichen Kontext betrachtet wird. Und das kann Ihr Unternehmen nur voranbringen.
Mit den rasanten Entwicklungen bezüglich IT-Security mitzuhalten, ist für Unternehmen nicht einfach. Die Experten von Protiviti können helfen, Sicherheitsrisiken aufzudecken und Lösungen zu entwickeln. In Kooperation mit den Personalberatern von Robert Half finden Sie exakt die Fachkräfte, die etwaige Kompetenzlücken in Ihrem Unternehmen perfekt füllen.
1 Die Studie wurde im November 2020 im Auftrag von Robert Half durchgeführt. Befragt wurden 1.500 Führungskräfte mit Personalverantwortung (General Manager, CFOs, CTOs/CIOs,) in kleinen (50-249 Mitarbeiter), mittelgroßen (250-499 Mitarbeiter) und großen (500+ Mitarbeiter) Unternehmen in Belgien, Brasilien, Deutschland, Frankreich und Großbritannien (je 300 Teilnehmer).
Bildquelle: © Sigmund - unsplash.com