Der Faktor Mensch in der Cybersicherheit

Dieser Beitrag wurde am von in Allgemein, News veröffentlicht. Schlagworte: .


„Schützenswerte Informationen befinden sich eben nicht nur in der IT-Infrastruktur, sondern auch in den Köpfen der Mitarbeiter, den Papierkörben oder den Whiteboards im Unternehmen.“

Interview mit Michael Helisch, als Vice President verantwortlich für die globalen Aktivitäten im Bereich Information Security Governance, Risk & Compliance der Wirecard Gruppe, über Cybersicherheit und menschliches Verhalten.

Redaktion: Gerhard Walter, Solutions by HANDELSBLATT MEDIA GROUP GMBH

Warum ist der Faktor Mensch für die Informationssicherheit so wichtig?

Weil der Mensch im Kontext einer Bedrohung sowohl als „1st line of defense“ wie auch als „last line of defense“ agieren kann, er somit proaktiv UND reaktiv zum Schutz des Unternehmens und dessen Informationen beitragen kann. Dazu muss er die Bedrohung richtig einschätzen können, wissen wie auf diese Bedrohung angemessen zu reagieren ist und entsprechend handeln können. Gerade der letzte Aspekt ist entscheidend, in der  Realität aber oft nicht in adäquater Weise möglich – Stichwort: Hindernisfaktoren für sicherheitskonformes Verhalten im beruflichen Alltag wie zum Beispiel Zeit, Stress, betriebliche Prozesse, die einem solchen Verhalten entgegenstehen, Fehlen oder mangelnde „usabiltiy“ entsprechender technischer (Schutz-)Hilfsmittel oder ein Vorgesetzter, der schlichtweg andere Prioritäten (zu Lasten der Informationssicherheit) setzt und durchsetzt.

Reichen Phishing-Filter und Firewalls aus, um die unternehmenseigene IT-Infrastruktur vor Cyberangriffen zu schützen?

Natürlich nicht! Effizienter und effektiver Schutz kann aus meiner Sicht nur auf Basis eines systemischem Ansatzes erreicht werden, das heißt einem integrierten Miteinander von technischer Infrastruktur, dem Sicherheitsfaktor Mensch und den relevanten betrieblichen Prozessen im Unternehmen, die die Informationssicherheit sinnvoll unterstützen muss.

Zudem ist der Schutz der IT-Infrastruktur vor Cyberangriffen wichtig aber nicht ausreichend, denn schützenswerte Informationen befinden sich eben nicht nur in der IT-Infrastruktur, sondern auch in den Köpfen der Mitarbeiter, den Papierkörben oder den Whiteboards im Unternehmen. Angriffe kommen auch nicht nur aus dem Cyberraum, sondern via Social Engineering via E-Mail, Telefon oder anderen Medien beziehungsweise Kanälen.

Warum werden die Mitarbeiter eines Unternehmens von Cyberkriminellen zunehmend als potenzielle Schwachstelle ausgemacht?

Ganz einfach, weil es sich offensichtlich für die  Angreifer lohnt und es relativ einfache und billige Methoden – sei es nun Phishing oder Social Engineering – gibt, an Informationen heranzukommen. Der Mensch ist nun mal ein Mensch mit all seinen Stärken und Schwächen. Diese Schwächen lassen sich zum Beispiel mit den entsprechenden psychologischen Tricks leider allzu oft ausnutzen.

Welche Möglichkeiten gibt es für Unternehmen, ihre Beschäftigten auf solche Attacken vorzubereiten?

Natürlich via entsprechender Wissensvermittlung wie zum Beispiel Trainings. Wissen zu vermitteln bedeutet aber noch lange nicht, dass dieses auch adäquat und stets von den Mitarbeitern angewendet wird. Alle Mitarbeiter müssen also die Möglichkeit haben, ihr Wissen immer wieder und wieder anzuwenden, beispielsweise in simulierten (Phishing-)Attacken, Clean Desk Checks, Social Engineering Anrufen, Krisenübungen et cetera … Hierin eingeschlossen ist selbstverständlich auch das Management. Aus meiner eigenen Erfahrung kann ich das spielerisches Lernen im Team zum Beispiel im Kontext eines unternehmensweiten Teamwettbewerbs sehr empfehlen. Das kommt bei den Mitarbeitern sehr gut an, hat einen nachhaltigeren Effekt, als wenn der Mitarbeiter für sich allein „im stillen Kämmerlein“ ein Security WBT durchklickt und ist zudem ein Mittel der Imagepflege beziehungsweise Marketing für den Sicherheitsverantwortlichen wie auch das Thema Sicherheit im Unternehmen.

Was wir aber nicht vergessen sollten ist Folgendes: Sicherheit ist auch ein Kultur- und HR-Thema. Kultur deshalb, weil jedes Unternehmen eine individuelle Unternehmenskultur hat, die direkten Einfluss auf die Sicherheitskultur und damit auf sicheres Verhalten jedes Mitgliedes dieses „Systems“ hat. Auch ist der Umgang mit Informationen in verschiedenen Kulturkreisen unterschiedlich – das muss ich als Verantwortlicher für ein globales Awarenessprogramm wissen und Kulturunterschiede bei dessen Ausgestaltung entsprechend berücksichtigen.

HR deshalb, weil die Bereitschaft zum Schutz des Unternehmens mit den Themen Loyalität, Identifikation mit den Unternehmen, Mitarbeiterzufriedenheit – also „klassischen“ HR-Themen –  korreliert. „Ich schütze (gleichsam automatisch), was mir lieb und teuer ist“ hat meiner Meinung nach und insbesondere in diesem Kontext seine Relevanz. Es ist auch deshalb ein HR-Thema, weil das Ziel „sicheres Verhalten“ eine kritische Auseinandersetzung mit den relevanten innerbetrieblichen „Störfaktoren“ bedingt und die Initiierung eines Veränderungsprozesses erfordert, der professionell gemanaged werden will. Am Ende des Tages geht es für den Sicherheitsverantwortlichen, die HR-Verantwortlichen, die Unternehmensleitung um eine offene und ehrliche Auseinandersetzung mit der Frage: „Warum tun sie´s (die MA) nicht?“

Erlauben Sie uns noch die abschließende Frage: Nutzen Sie die „Corona-App“ der Bunderegierung?

Ja, als Zusatzinformation ist die App sicherlich hilfreich.

Michael Helisch verantwortet seit Januar 2019 als Vice President die globalen Aktivitäten im Bereich Information Security Governance, Risk & Compliance der Wirecard Gruppe. Michael Helisch ist seit 2001 in verschiedenen Fach- und Führungsfunktionen in den Bereichen IT, Information Security und Risk Management tätig. Einen Schwerpunkt bildet dabei unter anderem das Thema Security Awareness. Von 2002 bis 2007 war er für die Konzeption und Leitung des International Security Awareness Programs (ISAP) der Münchener Rückversicherungs-AG verantwortlich, seinerzeit eines der umfangreichsten Security Awareness Programme im deutschen Sprachraum. Als selbständiger Berater hat er Konzerne und globale Organisationen bei der Konzeption und Umsetzung von Sensibilisierungsprogrammen unterstützt. Herr Helisch ist Autor und Mitherausgeber des ersten Security Awareness Fachbuchs im deutschen Sprachraum und Hochschuldozent für dieses Thema.