Manager aufgepasst: Wie Du sofort die IT-Sicherheit in deinem Unternehmen verbessern kannst

IT-Sicherheit ist Sache des Chefs und nicht nur der IT-Abteilung

Die last line of defense muss stehen – da führt kein Weg dran vorbei. Virenscanner, Firewall, regelmäßige Updates sind ein Muss. Aber eben auch nur der last. Wenn zu Hause eingebrochen wird, verlässt man sich auch äußerst ungern darauf, dass die herbei gerufene Polizei schnell genug herbeieilt, um die Diebe dingfest zu machen. Der Fokus liegt hier darauf, den Einbruch zu verhindern, bevor die Übeltäter ihren Fuß über die Türschwelle gesetzt haben, ebenso bei der IT-SIcherheit

Digitalisieren wir in Gedanken dieses Einbruchsszenario, dann wird deutlich, dass auch hier Vorkehrungen getroffen werden müssen, die einen potenziellen Einbruch bereits vor dem Versuch erkennen oder abwehren können. Das gilt übrigens gleichermaßen für kleine Betriebe, den Mittelstand sowie für Großunternehmen.

Warum sollte ich mich damit befassen? Ist IT-Sicherheit nicht Sache der IT-Abteilung?

NEIN! Digitale Transformation und damit die zunehmende Vernetzung von Geschäftsabläufen stellt steigende Anforderungen an die IT-Sicherheit und geht damit jeden im Unternehmen an. Welcher Prozess in Deinem Unternehmen kommt noch zu 100% ohne IT und Vernetzung aus? Nicht nur Attacken von außen, sondern insbesondere Angriffe von innen, ob bewusst oder durch Fahrlässigkeit versursacht, führen Jahr für Jahr zu hohen wirtschaftlichen Schäden –  und das ist erst der Anfang. IBM schätzt, dass rund 60% aller Angriffe auf IT-Systeme innerhalb der eigenen Infrastruktur passieren. Verizon fand sogar heraus, dass erfolgreiche Phishing-Attacken der Grund für rund 90% aller sicherheitsrelevanten Vorfälle seien.

Mitarbeiter als Wurzel allen Übels?

 

„Die Mitarbeiter sind das größte Gefahrenpotenzial für IT-Sicherheit!“

Das wird oft pauschal zitiert. So oder so ähnlich haben wir diesen Satz alle schon gelesen, wenn nicht sogar selbst ausgesprochen. Das ist wenig hilfreich. Ändert man den Blickwinkel und begreift die Mitarbeiter nicht als Gefahr, sondern als first line of defense, wird schnell der Ruf nach besseren Sicherheitsschulungen laut. Dieser ist durchaus gerechtfertigt, jedoch kein Allheilmittel. Das beste Training und das raffinierteste Sicherheitskonzept nützen nichts, wenn sie zu komplex sind und keine einfach umsetzbaren, effektiven, leicht zu merkenden Routinen bereitstellen. Diese Kritik beginnt bereits bei den Passwortrichtlinien. Groß- und Kleinschreibung, Ziffern, Sonderzeichen und mindestens 8 Zeichen – und das Ganze auch bitte jeden Monat neu und auf keinen Fall eines der letzten Passwörter darf verwendet werden. Eine solche oder ähnliche Organisationsanweisung kennt wohl jeder. Das ist anstrengend, demotivierend und führt zu einer inneren Ablehnungshaltung.

Macht es praktisch und gebt Tipps anstatt zu predigen, was alles sein muss und nicht sein darf! Im Falle der Passwörter z.B. sich einen Satz auszudenken und die Anfangsbuchstaben als Passwort zu verwenden. Oder eine Kombination aus beliebig ausgewählten Worten zu verwenden. Das erhöht die Sicherheit exponentiell und ist erstens sicherer und zweitens merkbarer als Passworte à la J9$rtzhd123. Letztere führen wahrscheinlich nur dazu, dass der gute alte Zettel unter der Tastatur nicht doch endlich verschwindet.

Doch gehen wir nochmal einen Schritt zurück. Wenn Unternehmen ihre Mitarbeiter als first line of defense begreifen, vergessen sie häufig etwas oder eher jemand Entscheidendes! Den CEO und seine Managementkollegen. Teure Trainings, Schulungen, Sicherheitskonzepte. Der geneigte Chef, der häufig zu beschäftigt ist, selbst am Training teilzunehmen, klopft sich auf die Schulter und macht einen gedanklichen Haken an das Thema IT-Sicherheit. Na? Erwischt? Das ist in etwa so wie die Mutter, die ihrem Kind predigt, einen Fahrradhelm aufzuziehen und ihn dann selbst nicht aufsetzt, um die Frisur nicht zu ruinieren. Gerade das obere Management ist gerne Ziel von Angreifern, lassen sich doch hier die wertvollsten Daten stehlen. Angemessene IT-Sicherheit beutet den Aufbau einer Awareness-Kultur im Unternehmen. Und das geht nur durch Vorbildfunktion. Dazu gehört im Übrigen auch das Zulassen von Fehlern. Wenn man sich nicht traut, zu erzählen, dass man auf einen verdächtigen Link geklickt hat, ist das Schadenspotenzial umso höher.

Kulturwandel dauert aber – wie kann ich meine IT-Sicherheit sofort verbessern?

Priorisieren!

Die eigene Infrastruktur zu kennen erlaubt einem, auszuwählen, welche Komponenten und Informationen besonders schützenswert sind. Hierauf sollte das Hauptaugenmerk liegen, anstatt mit der Gießkanne Sicherheitsmechanismen zu installieren.

Gesundes Misstrauen!

Schon unsere Mütter haben es uns eingebläut: Trau keinem Fremden, der dich anspricht. Social Engineering und Phishing erforderen Mamas drohenden Zeigefinger 4.0: Der Mensch neigt nun mal dazu, anderen erstmal zu vertrauen. Rufe zu pauschalem Misstrauen auf! Nur so lässt sich verhindern, dass Mitarbeiter arglos auf Links in Emails klicken oder am Telefon sensitive Informationen einfach preisgeben, weil die Person am anderen Ende der Leitung so vertrauenserweckend und freundlich war.

Der Wolke trauen!

Cloudspeicher kann eine echte Alternative sein. Je nach Anbieter sind die Sicherheitsstandards extrem hoch; so hoch, dass ein einzelnes Unternehmen sehr tief in die Tasche greifen müsste, um Ähnliches zu erreichen. Hinzu kommen Verfügbarkeit, geringer Wartungsaufwand und Skalierbarkeit.

Angriffsfläche reduzieren!

Analysiere, welche IT-Infrastrukturkomponenten Zugriff auf welche Systeme, Datenbanken, Netzwerke etc. haben und hinterfrage jeden Link! Notwendig für die Arbeit oder nicht? Da kann die IT-Abteilung nur bedingt helfen – was wirklich nötig ist, weiß nur der Chef. Links die nicht gebraucht werden, sollten gekappt werden. Wo kein Weg ist, ist in diesem Fall der Wille nicht ausreichend.

Chefsache!

IT-Sicherheit ist Chefsache – nicht nur, wenn es um das Freizeichnen von Bestellungen für Firewalls geht, sondern insbesondere auch, wenn es darum geht, sich mit den neusten Angriffsmethoden vertraut zu machen. Sensibilisierung hört nicht beim Mitarbeiter auf, Chefs sind oft stärker im Fokus von Kriminellen als Sachbearbeiter.

Prof. Dr. Ina Kayser ist seit Oktober 2016 an der IST-Hochschule schwerpunktmäßig für die Wirtschaftsinformatik verantwortlich. Zuvor war sie unter anderem beim VDI und Deloitte erfolgreich tätig. Sie ist zertifizierte Projektmanagerin nach PRINCE2 und verfügt über Zertifizierungen nach den IT-Management-Standards ITIL und COBIT. Während ihrer Promotion war sie als wissenschaftliche Mitarbeiterin an der Universität Duisburg-Essen beschäftigt und forschte unter anderem zu Akzeptanzentscheidungen der E-Government-Partizipation und zur Digitalen Agenda der EU. Frau Prof. Dr. Kayser studierte Wirtschaftsinformatik an der Universität Essen mit den Schwerpunkten Wirtschaftsinformatik der Produktionsunternehmen, Statistik und Ökonometrie. Zusätzlich absolvierte sie ein Masterstudium in internationaler Wirtschaft und Politik an der University of Sydney in Australien.

Die Kommentarfunktion ist geschlossen.

Wir teilen gerne - Du auch?

Diesen Post einfach teilen. Gemeinsam können wir die Digitalisierung für jeden verständlich erklären.
close-link