Wieso es wichtig ist, eine Cybersecurity-Kultur im Unternehmen zu etablieren.
Cyberangriffe sind so erfolgreich wie nie – und das obwohl Unternehmen sehr viel Geld in Abwehrmaßnahmen investieren. Umso wichtiger ist es, den Faktor Mensch im Sicherheitskonzept nicht zu vernachlässigen. Dafür braucht es aber mehr als klassische Awareness-Schulungen.
Von Andreas Wuchner, cybovate AG
In den letzten Jahren hat die Industrie sehr viel Geld in die IT-Sicherheit investiert. Dabei stand fast immer die Technologie im Vordergrund. Trotz all dieser Investitionen ist die Anzahl der erfolgreichen Cyberangriffe gestiegen. In der Folge werden zum Beispiel Cyberversicherungen immer teurer da sich die Schadensfälle und vor allem auch die Schadenshöhen häufen. Eine Ursache für die erfolgreichen Angriffe trotz der ganzen Technologie ist, dass die meisten Firmen den Faktor Mensch vernachlässigen: Technologie wird von Menschen benutzt und betrieben. Nur wenn der Nutzer auch entsprechend ausgebildet und sensibilisiert ist, Verantwortung übernimmt und eine Mitmachkultur etabliert ist, kann die Rechnung aufgehen.
Der Cybercrime Threat Response Report der Interpol zeigt gerade einen signifikanten Anstieg von Ransomware-Attacken gegen Benutzer, Firmen und Organisationen aller Art. Solche Angriffe sind immer wieder erfolgreich, weil die Benutzer einfach klicken und die bestehenden technischen Lösungen nicht greifen, da sie sonst die Mitarbeiter von der Arbeit abhalten würden. Nur ein einfaches Awarenesstraining mit computerbasierten Tests plus etwas Phishing-Simulation reichen ebenfalls nicht aus, um solche Angriffe abzuwehren. So etwas hilft Unternehmen nur dabei, auf dem Papier compliant zu sein – es bringt aber keinen wirklichen Sicherheitsgewinn und verankert auch keine Sicherheitskultur im Unternehmen und bei den Mitarbeitern.
Cybersecurity-Kultur: Betrachtung aller Faktoren
Hinter dem Konzept Cybersecurity-Kultur steht eine Ende-zu-Ende Betrachtung aller Faktoren, die für uns die Basis bilden warum wir tun was wir tun und wieso wir uns für etwas entscheiden. Wissen, Einstellungen, Annahmen, Werte und Druck sind alles Bestandteile davon.
Menschen machen eine Organisation sicher und nicht die eingesetzte Technologie – obwohl zusätzlich die technischen Abwehrmaßnahmen benötigt werden. Es sind jedoch meistens die Benutzer, die auf gezielte Cyberangriffe reinfallen. Damit ist jeder Mitarbeiter oftmals das schwächste Glied in der Kette – aber gleichzeitig auch die stärkste Abwehrmöglichkeit.
Aus diesem Grund ist es fundamental wichtig eine Umgebung zu schaffen, in der Mitarbeiter und Benutzer gut ausgebildet sind und sich im Umgang mit digitalen Medien – in der Firma wie auch im privaten Umfeld – sicher fühlen.
Bestehende Stärken ausbauen
Cybovate zusammen mit seinem Partner CybSafe bietet eine Plattform, die es Unternehmen erlaubt, das Thema ganzheitlich anzugehen. Sobald die bestehende Unternehmenskultur analysiert und verstanden wurde, baut CybSafe mit gezielten Maßnahmen die bestehenden Stärken aus, beeinflusst die Routinen und schafft eine Verbindung zwischen dem privaten und geschäftlichen Umgang mit elektronischen Medien.
Da die CybSafe-Plattform cloudbasiert ist, ist sie von überall her erreichbar. Zugang gibt es auch von unterwegs auf jedem mobilen Endgerät und in der CybSafe App. Lernen findet schon lange nicht mehr nur im Büro statt. Moderne Lösungen müssen es dem Benutzer erlauben, überall und zu jeder Zeit Antworten auf aktuellen Fragen finden zu können.
Geschulte Mitarbeiter, Kunden und Partner, die sich sicher fühlen aber auch die notwendigen Fähigkeiten und Unterstützungen zur Hand haben, bringen eine Organisation voran. Vertrauen und Selbstsicherheit in die eigenen Fähigkeiten machen den Unterschied, und das ist ja auch im privaten Leben nicht anders. Man liest in diesem Zusammenhang immer mal wieder den Begriff „Cyberhygiene“, der sehr gut beschreibt, um was es hier geht. Sobald der sichere Umgang mit digitalen Medien und Endgeräten zum Standard geworden ist, kann sich eine Organisation auf die wesentlichen Dinge ihres Geschäftes konzentrieren. Das unterstützt die Fähigkeit zur digitalen Transformation eines jeden Unternehmens.
Mitarbeiter sind Teil der Lösung
Damit diese Transformation gelingen kann, braucht es eine Verhaltensänderung. Um diese zu erzielen, muss man das Zusammenspiel von Fähigkeit/Wissen, Motivation und die Umgebungsvariablen wie Werte und Druck genauer betrachten und verstehen. Nur so kann man jeden Mitarbeiter aktiv unterstützen.
Die CybSafe-Plattform basiert daher auf diesen drei Grundpfeilern:
Erkenntnisse und bewährte Verfahren aus der Psychologie zur Verhaltensänderung
wissenschaftlich evaluiert, um zu wissen, was bei der Verhaltensänderung funktioniert und warum
menschenzentriert, sodass die Mitarbeiter sowohl produktiv als auch sicher bei der Arbeit sind
Verhaltensänderungen sind für uns alle eine Herausforderung. Wir Menschen sind Gewohnheitstiere, und unser Verhalten zu beeinflussen, geschweige denn zu verändern, ist schwierig und komplex. Jeder der schon mal einmal eine ernsthafte Diät gemacht hat, kennt diese Problematik ganz ge- nau. Die Gründer und Mitarbeiter von cybovate sind jedoch der festen Überzeugung, dass es absolut wert ist, diese Herausforderung anzugehen. Das Unternehmen unterstützt Menschen dabei, sich online, offline, zu Hause, unterwegs oder am Arbeitsplatz zu schützen.
Abbildung: COM-B-Modell der Verhaltensänderung
Die meisten am Markt befindlichen „Training und Awareness“- Tools fokussieren nur auf das Vermitteln von Wissen. Aber nur weil man weiß, dass man abnehmen will oder muss und auch trotz des Wissens, wie man das angehen kann, hat man noch lange nicht abgenommen. Aus diesem Grund scheitern diese Tools immer wieder: Sie erreichen vielleicht Compliance, und durch das Erfassen von Klickraten wird ein Gefühl der Messbarkeit generiert – aber Verständnis
und eine Veränderung der Kultur wird so nicht geschaffen. Man kann noch nicht einmal mit gutem Gewissen sagen, ob die in solchen Kampagnen investierten Ressourcen überhaupt jeglichen Wert generiert haben.
Die CybSafe-Plattform besteht aus drei Modulen, die es dem Anwender erlauben, zu jeder Zeit und an jedem Ort Antworten auf aktuelle Fragen rund um die Cybersecurity zu finden. So sind die Antworten da, wenn die Mitarbeiter sie brauchen und nicht, wenn ein Training es vorschreibt.
PROTECT: Cyberschutz
Die Benutzer erhalten Zugang zu Wissen und Tipps im täglichen Leben mit dem Fokus, die täglichen Verhaltensmuster zu schärfen und durch das Setzen von persönlichen Zielen das eigene Verhalten zu sensibilisieren.
ASSIST: Hilfe, wenn sie nötig ist
Diese Funktion bietet jederzeit Antworten und hilft weiter, wenn man Hilfe benötigt. Neben praktischen Tipps und technischen Hilfen werden auch weiterführende Hintergrundinformationen angeboten oder zum Beispiel erklärt, was zu tun ist, wenn man mal etwas falsch gemacht hat.
Abbildung: Interaktion und Lernen, wann immer es zeitlich passt – auch von unterwegs.
LEARN: Bewusstseins schaffen
Einzelne rollenbezogene Module schaffen Aufmerksamkeit und Interesse für das Thema. Kein schnödes Lernen, sondern Situationen des täglichen Lebens daheim und im Büro schaffen es immer wieder „Aha-Momente“ zu kreieren.
Abbildung: Hilfe und Tipps wenn sie benötigt werden.
Fazit
CybSafe nutzt einen wissenschaftlichen Ansatz basierend auf dem COM-B-Modell der Verhaltensänderung. Langweiliges Lernen, getrieben von Compliance-Anforderungen war gestern. Das Unternehmen cybovate ist für alle der Ansprechpartner, die den Faktor Mensch und die damit einhergehenden Risiken besser verstehen und adressieren wollen.
