Blickpunkt

Unternehmenskultur entscheidet
Cyber Security muss gelebt werden

Hendrik Fuchs

Firmen können technisch noch so gut gerüstet sein – ist das Thema Cyber Security in der Unternehmenskultur nicht richtig verankert, können Schutzmaßnahmen ihre Wirkung nicht voll entfalten. Ein Interview mit Markus Klingspor, Geschäftsführer von der Thinking Objects GmbH.

Inwieweit reichen heute schriftlich fixierte Sicherheits-Policies und Investitionen in entsprechende Soft- und Hardware aus, um ein Maximum an IT-Sicherheit im Unternehmen zu gewährleisten?

Cyber Security ist ein Thema, das sich nicht allein technisch lösen lässt. Erst kürzlich hat eine vom Bundeswirtschaftsministerium geförderte Studie des Kriminologischen Forschungsinstituts Niedersachsen e.V. (KFN) gezeigt, dass organisatorische Maßnahmen beim Schutz eine wesentliche Rolle spielen. Insgesamt wurden 5.000 kleine und mittlere Unternehmen befragt. Im Fokus der Studie stand die Frage, wie sich diese Unternehmen vor Cyberangriffen schützen können und wie effektiv deren Bemühungen sind. Die Befragung legte offen, dass fast alle Firmen zwar technische Maßnahmen umgesetzt hatten, aber trotzdem Opfer von Cyberangriffen wurden. Hingegen waren organisatorische IT-Sicherheitsmaßnahmen weniger weit verbreitet, standen aber fast alle in einem direkten Zusammenhang zu der Betroffenheit der Unternehmen durch Attacken. Daher ist es enorm wichtig, dass die Sicherheitstechnik nicht nur in die Unternehmensprozesse sinnvoll eingebunden wird, sondern auch in der Belegschaft auf eine möglichst große Akzeptanz stößt. Denn die Einführung einer neuen Soft- und Hardware setzt mitunter auch eine Verhaltensänderung aufseiten der Mitarbeiter voraus. Da geht es dann um die Fragen, inwieweit sich das alles sinnvoll in den Arbeitsalltag integrieren lässt, ohne dass die Arbeitskraft darunter leidet, beziehungsweise inwiefern das zu einer Missachtung und zu problematischen Ausweichhandlung bei den Mitarbeitern führt. In diesem Kontext empfehle ich den Vortrag „How to do Security with your Organisation, not to it“ von John Elliot aus dem Jahr 2017, damals Head of Payment Security bei Easy Jet. Der Vortrag ist auf auf Youtube abrufbar und beschreibt sehr bildhaft, wie verzweifelte Mitarbeiter versuchen, gutgemeinte Sicherheitsregeln zu umgehen, um weiterhin ihre Arbeit machen zu können.

Markus Klingspor, Geschäftsführer von der Thinking Objects GmbH. Sein Unternehmen hat sich auf das Thema Cyber Security spezialisiert.Thinking Objects GmbH
Markus Klingspor, Geschäftsführer von der Thinking Objects GmbH. Sein Unternehmen hat sich auf das Thema Cyber Security spezialisiert.

Zu welchen Ergebnissen ist die Studie noch gekommen?

Sie hat gezeigt, dass organisatorische Maßnahmen nur dann ihre volle Wirkung entfalten können, wenn deren Einhaltung auch wirklich kontrolliert und gelebt wird. Zwischen den Unternehmen, die schriftlich fixierte Richtlinien haben und solchen, die diese nicht haben, bestanden nur zwei Prozent Unterschied hinsichtlich erfolgreicher Cyberangriffe. Zwischen Unternehmen, die Richtlinien haben und solchen, die diese auch regelmäßig überprüfen und durchsetzen, betrug der Unterscheid deutliche 20 Prozent.

Ein weiteres wichtiges Ergebnis ist die Auswirkung von Mindestanforderungen an Passwörter. Unternehmen, die Mindestanforderungen an Passwörter stellten, waren ebenfalls signifikant seltener betroffen. Da gab es einen Unterschied von zehn Prozent. Nicht umsonst sagt man, dass Passwörter wie Zahnbürsten sind – beides gibt man nicht weiter. Dabei sind im Wesentlichen die Länge und Handhabbarkeit durch den Benutzer entscheidend.

Die Studie hat darüber hinaus ergeben, dass lediglich zwölf Prozent der Unternehmen eine Anzeige nach einem Angriff erstatten. Hauptgrund ist die fehlende Aussicht auf einen Ermittlungserfolg. Ein Fünftel der Unternehmen gab aber auch an, dass man nicht wisse, an wen man sich wenden solle. In allen Bundesländern gibt es für solche Fälle die Zentrale Ansprechstelle Cybercrime (ZAC). Eine Liste aller Ansprechstellen findet sich auf Polizei.de. In Baden-Württemberg gibt es zusätzlich noch die Cyberwehr, die erste Hilfe leistet und Experten vermittelt.

Was wird in diesem Kontext von der Chefetage gerne übersehen beziehungsweise unterschätzt?

Dass IT-Sicherheit kein reines IT-Thema ist. In vielen Unternehmen ist die IT-Sicherheit Aufgabe des IT-Leiters und wird gerne von der Chefetage entsprechend „wegdelegiert“. Allerdings sollten sich Unternehmer immer bewusst sein, dass es dabei eigentlich um das Managen von nicht unerheblichen Unternehmensrisiken geht – also Chefsache sein muss. IT-Sicherheit ist ein Thema, das unbedingt ganzheitlich betrachtet werden muss. Eine übersehene Kleinigkeit kann schließlich ein ganzes Gebäude zum Einsturz bringen. Gute Sicherheit braucht darüber hinaus gute Prozesse. Technik ist sicherlich für die Umsetzung wichtig, allerdings muss sie regelmäßig gewartet und auf den neuesten Stand gebracht werden. Dass dem in vielen Unternehmen nicht so ist, zeigt sich etwa daran, dass 20 Prozent der Windows-Systeme in Firmen nach wie vor mit Windows 7 laufen, obwohl Microsoft den Support längst eingestellt hat.

Die Studie belegt leider auch, dass Unternehmer die Risiken eines Cyberangriffs eher als zu gering einschätzen und ein Bewusstsein für dieses Thema fehlt. 90 Prozent der Unternehmer rechnen nicht mit einem gezielten Angriff. Geht es um ungezielte Angriffe, sind 73 Prozent der Unternehmen, die noch keinen Angriff erlebt haben, der Meinung, dass sie von Attacken verschont bleiben. Bei Unternehmen, die bereits betroffen waren, schätzen 54 Prozent das Risiko als gering oder sehr gering ein.

Eine Studie von Deloitte kam bereits 2018 zu dem Ergebnis, dass das Risikobewusstsein der Firmen sinkt. Da scheint es eine Art Ermüdungseffekt zu geben. Dabei ist die wesentliche Frage nicht, wer das Unternehmen angreift, sondern, was passiert, wenn es jemand erfolgreich tut. Ganz entscheidend ist dabei die Haltung des Chefs. Wenn dieser nicht vorlebt, dass das Sicherheitsthema wesentlich und wichtig ist, darf er auch nicht erwarten, dass seine Mitarbeiter diese Haltung haben. Karl Valentin hat einmal gesagt: „Es hat keinen Sinn, Kinder zu erziehen. Sie machen sowieso alles nach.“ Gute IT-Sicherheit in einem Unternehmen braucht demnach gelebte Prozesse und eine Kultur, die Sicherheit fördert. Gelebte Prozesse müssen immer wieder geübt werden, damit sie in Fleisch und Blut übergehen. Das Beschreiben eines Prozesses alleine genügt nicht. Ein prägnantes Beispiel dafür ist der Prozess Zähneputzen bei Kindern. Kinder können den Prozess schnell und einfach nachvollziehen. Trotzdem müssen Eltern viel Zeit und Energie aufbringen, bis dieser Prozess funktioniert.

Wie lässt sich in einer Firma eine Unternehmenskultur etablieren, in der das Thema IT-Sicherheit auch wirklich von allen gelebt wird?

Neben der Haltung des Chefs muss es klare und für alle nachvollziehbare Richtlinien geben. Ziel muss die Sicherung der Arbeitsfähigkeit sein. Die Mitarbeiter müssen zudem in einem nächsten Schritt in die Lage versetzt werden, die Anforderungen aus den Richtlinien auch erfüllen zu können. Gezielte Schulungen, die die Awareness innerhalb der Belegschaft erhöhen, sind hier die erste Wahl. Und besonders wichtig: Die Richtlinien müssen die Anforderungen der Arbeit berücksichtigen. Die Einhaltung der Richtlinien darf von den Mitarbeitern nicht als Schikane begriffen, bewusste Verstöße müssen allerdings auch geahndet werden. Besondere Bedeutung kommt dabei der Fehlerkultur im Unternehmen zu. Trauen sich die Mitarbeiter, Fehler schnell zu melden, damit etwas getan werden kann, oder hoffen sie lieber darauf, dass Fehler am Ende nicht auf sie zurückgeführt werden können? Wie der Mitarbeiter hier reagiert, hängt maßgeblich von der Firmenkultur ab.

Linkliste

Studie „IT-Sicherheit in der Wirtschaft“: dn.rpv.media/2e0

Vortrag John Elliot: dn.rpv.media/2e1

Angriffe melden

Zentrale Ansprechstelle Cybercrime (ZAC): dn.rpv.media/2e2

Cyberwehr Baden-Württemberg: cyberwehr-bw.de