Erfolgsfaktoren: Cyber-Sicherheit und ComplianceSo holen Sie Mitarbeitende ins Boot

5. November 2018

Der Oktober stand wie immer ganz im Zeichen nationaler Cyber-Sicherheit. Tendenziell kein schlechter Zeitpunkt Mitarbeitende in Sachen Cyber-Sicherheit auf den aktuellen Stand zu bringen. Dazu bedarf es allerdings etwas mehr als nur Informationen zu verteilen. Firmen brauchen stattdessen umsetzbare Strategien, die nicht nur unterstreichen wie wichtig Cyber-Sicherheit ist, sondern die Mitarbeitende aktiv und kontinuierlich einbeziehen.

Cyber-Sicherheit und Compliance sind wichtige Aspekte, die den Erfolg eines Unternehmens sicherstellen helfen. Doch nur wer die richtigen Ansatzpunkte kennt, kann seine Mitarbeiter dafür sensibilisieren. Sieben Punkte sollen zeigen, worauf besonders Augenmerk zu legen ist.

Anzeige
it clientmanagement ad

Auf die Mitarbeiter kommt es an. Zeigen Sie ihnen das!

Immer noch haben viele Mitarbeiter nicht einmal ein grundlegendes Bewusstsein dafür, wie und warum ein Unternehmen bestimmte Cyber-Sicherheitsstrategien einführt. So fehlt beispielsweise das Verständnis für die weitreichenden Folgen, wenn jemand einen infizierten Link anklickt und damit potenziell das ganze Netzwerk gefährdet. Der erste Schritt in Sachen Weiterbildung ist es, das Material ausreichend relevant und konkret zu gestalten. Verdeutlichen Sie Ihren Mitarbeitern wie deren Verhalten direkt in die Sicherheitsbelange des gesamten Unternehmens eingreift. Wenn jemand verinnerlicht, dass die eigenen (konformen) Verhaltensweisen dazu beitragen, die Sicherheit des Unternehmens zu verbessern, führt das vermutlich zu einem weit weniger riskanten digitalen Verhalten.

In einer aktuellen Studie mit 500 Befragten wurde beispielsweise herausgefunden, dass zwei von fünf Angestellten auf Links und Anhänge klicken, auch wenn sie diese nicht kennen. Offensichtlich, ohne über die möglichen Konsequenzen nachzudenken. Eine weitere Umfrage von Shred-It konstatiert, dass mehr als 25Prozent der Teilnehmer ihre Computer nicht für einen unbefugten Zugriff sperren, wenn die Geräte unbeaufsichtigt sind. Derart nachlässige Mitarbeiter können eine Firma teuer zu stehen kommen oder ihr doch wenigstens einiges Kopfzerbrechen bereiten. Hier kann man vergleichsweise einfach Abhilfe schaffen.

Wenn Sie mit Ihren Mitarbeitern erstmals über Cyber-Sicherheit und Compliance sprechen, gilt es plausibel zu machen, dass selbst kleine, scheinbar unbedeutende Entscheidungen weitreichende Auswirkungen haben. Eine Methode sind Rollenspiele. Sie machen sinnfällig, welchen Unterschied vermeintlich unbedeutende Entscheidungen haben. Und das in beiderlei Hinsicht: positiv wie negativ. Man sollte bei dieser Methode allerdings darauf achten, dass Mitarbeiter sich nicht allein für Defizite in der Cyber-Sicherheit verantwortlich fühlen. Der Fokus sollte weniger auf Fehlern liegen als auf einer Fehlerkultur. Trainer sollten vermitteln, dass auch vermeintlich kleine Schritte erheblich dazu beitragen Cyber-Sicherheit zu stärken.

Cyber-Sicherheit schon bei der Einstellung trainieren

Mitarbeiter in Cyber-Sicherheit zu involvieren ist ein Prozess — und den kann man nie früh genug starten. Es macht also durchaus Sinn, Cyber-Sicherheit als Thema bei Neueinstellungen anzusprechen. Diese Strategie hat einige Vorteile. Zunächst einmal verdeutlichen Sie, dass Cyber-Sicherheit fester Bestandteil der Unternehmenskultur ist. Und Sie geben Neuankömmlingen die Chance, dies schon von Anfang an zu beherzigen.

Menschen wollen sich im Job wertgeschätzt fühlen und sie wollen Anteil am Erreichen der Unternehmensziele haben. Wer von Anfang an über die Cyber-Sicherheitsmaßnahmen informiert worden ist, der weiß sofort wie er seinen Arbeitsplatz sicherer machen kann – auch im Sinne aller anderen.

Top Down: Cyber-Sicherheit vorleben

Mitarbeiter sträuben sich meistens gegen neue oder bessere Cyber-Sicherheit-Maßnahmen, falls die Führungskräfte nicht einmal den Anschein erwecken, genauso hinter den Ansätzen zu stehen, wie sie es von ihren Mitarbeitern verlangen. Ein wichtiger Schritt, um Cyber-Sicherheit zu einen wichtigen und vor allem gelebten Teil der Unternehmenskultur zu machen, ist, dass die Führungsriege Sicherheit vorlebt.

Führungskräfte sollten wissen wie man eine Kultur der Cyber-Sicherheit stärkt. Regelmäßige Meetings auf Vorstandsebene und mit dem Cyber-Sicherheitsteam tragen dazu bei. So kann man Probleme und Bedenken zeitnah ansprechen, Fortschritte gebührend würdigen und Möglichkeiten besprechen, um die Mitarbeiter stärker in Maßnahmen zur Cyber-Sicherheit mit einzubeziehen.

Umsetzung prüfen

Cyber-Sicherheitsexperten können sich nicht einfach darauf verlassen, dass Mitarbeiter sämtliche oder die meisten der gelernten Maßnahmen auch tatsächlich umsetzen. Cyber-Sicherheitsaudits sind ein guter Weg zu überprüfen, wie sicher ein Unternehmen wirklich ist. Man kann feststellen wie gut ein Training für die Praxis wirklich war und ob es noch Verbesserungspotenziale gibt.
Viele Unternehmen, wie zum Beispiel regierungszugehörige Firmen oder solche, die Gelder von staatlichen Behörden erhalten, müssen sich Audits unterziehen. Sie müssen nachweisen, dass sie gut definierte Richtlinien, Dokumente, Verfahren und Prozesse eingezogen haben, und die vorgegebenen Standards in der Cyber-Sicherheit ernstnehmen. Solche Inspektionen sind für jedes Unternehmen hilfreich, weil darin Grundsätze festgelegt werden.

Neben Audits kommen auch Übungen in Frage, bei denen die Mitarbeiter ihre neu erworbenen Fähigkeiten in simulierten Szenarien anwenden. Dabei zeigt sich nicht nur, ob die Schulungen greifen, sie geben Teilnehmern auch die Gelegenheit nachzufragen, sollte etwas unklar geblieben sein. Bei klar formulierten Grundsätzen für die Cyber-Sicherheit steigt die Wahrscheinlichkeit, dass diese mehr und mehr zur Routine im beruflichen Alltag werden. Auf der technischen Ebene sind System-Backups und Zwei-Faktor-Authentifizierung  weitere Methoden wie man Cyber-Sicherheit zügig verbessern kann.

2017 wurden Ergebnisse veröffentlicht wie es in staatlichen Unternehmen um die Bereitschaft zur Cyber-Sicherheit bestellt ist: 68 Prozent der Vorstandsmitglieder gaben an, kein Cyber-Sicherheitstraining erhalten zu haben wie sie beispielsweise auf Vorfälle reagieren sollten und 10 Prozent verfügten über keinen Sicherheitsplan im Falle einer Datenschutzverletzung. Diese Ergebnisse sind schwerwiegend. Ohne einen solchen Plan ist es kaum möglich schnell und effizient genug auf einen Vorfall zu reagieren.

Wie Mitarbeiter auf verdächtige Ereignisse reagieren sollten

Wenn Mitarbeiter wissen, wie sie im Sinne der Cyber-Sicherheitspraktiken handeln sollten minimiert man automatisch die Zweifel ob ein bestimmtes Vorkommnis gemeldet werden sollte oder nicht. Nicht selten bemerken Mitarbeiter verdächtige Vorfälle nämlich durchaus, beruhigen sich aber selbst. Die Schlussfolgerung, es werde schon jemand anderer aktiv werden, ist leider nicht zwingend die beste.

Im Falle eines ungewöhnlichen Cyber-Sicherheitsvorfalls sollten Unternehmen über einen benutzerfreundlichen Prozess verfügen. Der sollte es erlauben, Vorfälle dieser Art präzise und schnell mitzuteilen. Cyber-Sicherheitsverantwortliche sollten eine Fehlerkultur vertreten, nach der man lieber einmal einen falschen Alarm erhält, statt aus Angst vor den Konsequenzen eine Beobachtung zu verschweigen.

Ein einfaches, universales System reduziert Fehler und liefert die notwendigen Informationen. Wenn verschiedene Abteilungen unterschiedliche Methoden nutzen oder ein Reporting-System für den durchschnittlichen Benutzer zu kompliziert ist, erreicht man eher das Gegenteil.

Das richtige Maß an Informationen

Jeder kennt das betäubende Gefühl nach ellenlangen PowerPoint-Präsentationen. Das Gehirn kann einfach keine weiteren Informationen mehr aufnehmen. Egal welche Methode Sie letztlich nutzen, ein Cyber-Sicherheitsexperte sollte seine Informationen portionieren.

Hilfreich sind kurze Videos oder informelle Mittagsmeetings. Auf jeden Fall ist es sinnvoll, die Informationen in wohl dosierten Mengen zu vermitteln, dafür aber regelmäßig.

Die Bereitschaft Cyber-Sicherheit umzusetzen ist ein Prozess

Es gibt nicht den Punkt an dem Mitarbeiter genug über Cyber-Sicherheitsrisiken wissen. Die beschriebenen Tipps sind zweifelsohne hilfreich. Aber nur dann, wenn sie so regelmäßig wie andere gut durchstrukturierte Prozesse am Arbeitsplatz umgesetzt werden.

Jeder Mitarbeitende sollte sich an empfohlene Sicherheitspraktiken halten, weil jeder seinen Anteil daran hat, Cyber-Sicherheit und Compliance im Unternehmen zu gewährleisten. (rhh)

Hier geht es zu Globalsign

Lesen Sie auch