Cyber-Resilienz schaffen Unternehmen müssen Mitarbeiter besser schulen

Von Bernd Hennicke

In der Corona-Krise mussten Unternehmen weltweit auf Homeoffice umstellen, um ihre Mitarbeiter zu schützen, doch damit kamen neue Gefahren: Allein 52 Milliarden Euro Schaden durch Cyber-Attacken waren im Jahr 2020 auf die Homeoffice-Situation zurückzuführen, wie das Institut der deutschen Wirtschaft ermittelte. Unternehmen stehen nun vor großen Herausforderungen in Sachen IT-Sicherheit.

Anbieter zum Thema

Regelmäßige Schulungen, die sicherstellen, dass sich Mitarbeiter der Cyber-Risiken bewusst sind, sind ein wichtiger Bestandteil der Cyber-Resilienz von Unternehmen.
Regelmäßige Schulungen, die sicherstellen, dass sich Mitarbeiter der Cyber-Risiken bewusst sind, sind ein wichtiger Bestandteil der Cyber-Resilienz von Unternehmen.
(Bild: goodluz - stock.adobe.com)

Remote- oder hybride Arbeitsumgebungen sind heute für Büroangestellte die Norm. Infolgedessen werden Hacker weiter versuchen, Schwachstellen auszunutzen, wo es geht. Schlecht gesicherte persönliche Geräte und private Netzwerke bieten dafür eine ideale Grundlage. Gleichzeitig haben Vorgesetzte und IT-Experten im Unternehmen weniger Kontrollmöglichkeiten – so können sich gefährliche Nachlässigkeiten einschleichen. Unternehmen müssen daher unbedingt eine Kultur der Cyber-Resilienz schaffen, die von allen Mitarbeitern geteilt wird. Da die Bedrohungslage in den kommenden Monaten vermutlich weiter zunehmen wird, müssen Unternehmen jetzt handeln, um sich langfristig zu schützen. Dazu gehört, dass sie einen proaktiven Ansatz verfolgen, der Schulungen, Erkennungs- und Reaktionstechnologien, laufende Simulationen und Tests sowie Sicherungs- und Wiederherstellungslösungen umfasst.

Risiken auf mehreren Ebenen

Klagen aufgrund mangelnder Cybersicherheitsstandards können zu empfindlichen Verlusten für Unternehmen führen – laut einer Umfrage belief sich der durchschnittliche Schaden in Deutschland im Jahr 2021 auf fast 22.000 Euro pro Vorfall. Auf diesen Kosten können Unternehmen sitzen bleiben, wenn diese auf Nachlässigkeiten von mangelhaft geschulten Mitarbeitern zurückgehen. Versicherungen sind beispielsweise naturgemäß bestrebt, das Risiko hoher Auszahlungen zu begrenzen, und werden wahrscheinlich eine Klausel aufnehmen, die es ihnen erlaubt, die Deckung unter bestimmten Umständen zu verweigern. Eine solche Klausel kann die Nichteinhaltung „minimaler oder angemessener“ Sicherheitsstandards sein. Wenn ein Unternehmen beispielsweise keine grundlegenden Kontrollen wie die Verschlüsselung sensibler oder geschützter Daten eingeführt hat, kann der Versicherer aufgrund einer derartigen Klausel die Auszahlung verweigern. Andererseits könnte bereits eine Schulung zum Bewusstsein für Cybersicherheit von einigen Versicherern als minimale oder angemessene Sicherheitsmaßnahme angesehen werden. Das Fehlen einer solchen Schulung könnte in diesem Fall dazu führen, dass der Versicherungsschutz verweigert wird, wenn das versicherte Unternehmen seinen Mitarbeitern keine solche Weiterbildung anbietet.

Mit Automatisierung auf dem Weg zur Cyber-Resilienz

Cyber-Resilienz ist die Fähigkeit, trotz Hindernissen durch Cyberattacken den erwarteten Output zu liefern. Sie erfordert einen umfassenden Netzwerk-, Endpunkt- und Benutzerschutz sowie Datenwiederherstellung als Teil einer robusten Verteidigungsstrategie. Aber das ist nicht genug.

Zwar verfügen alle Unternehmen über irgendeine Form von Abwehrmaßnahmen, doch sollte der Schwerpunkt auf der Cyber-Resilienz liegen, um echte Sicherheit zu gewährleisten. Resilienz-Strategien werden oft isoliert und als separate Einheit von einem Sicherheitsrahmen oder einer Sicherheitsrichtlinie behandelt. Cybersicherheit als Teil einer umfassenderen Cyber-Resilience-Strategie bietet einen weitaus größeren Nutzen. Unternehmen können sich so vor dem Unvermeidlichen schützen und den potenziellen Schaden durch eine Sicherheitsverletzung abmildern.

Unternehmen werden wahrscheinlich ihre Technologieinvestitionen erhöhen, um ihre überlasteten Sicherheitsteams zu unterstützen. Eine verstärkte Automatisierung und Kontextualisierung von Sicherheitswarnungen wird diesen Teams dabei helfen, einen Fehlalarm von echten Bedrohungen zu unterscheiden.

Zu modernen Sicherheitskonzepten gehören auch Zero-Trust-Ansätze, die das alte Perimetermodell ersetzen. Früher wurde zwischen sicheren internen Netzwerken und der potenziell unsicheren Außenwelt unterschieden und an diesem Perimeter setzen die traditionellen Technologien an. In einer Welt von Remote und Hybrid Work ist dieses Konzept nicht mehr zielführend. Bei Zero Trust gelten stattdessen zunächst alle Geräte und Nutzer als potenziell verdächtig und müssen stets authentifiziert werden.

Mitarbeiter regelmäßig auf den neusten Stand bringen

Regelmäßige Schulungen, die sicherstellen, dass sich Mitarbeiter der Cyber-Risiken bewusst sind, sind ebenfalls ein wichtiger Bestandteil der Cyber-Resilienz. Solche Aufklärungskampagnen sollten allerdings alle Level im Unternehmen umfassen und bei der Geschäftsführung beginnen, denn auch hier ist das Wissen nicht vorauszusetzen. Damit sorgen Unternehmen aber auch für die Kommunikation der Relevanz der Maßnahmen und verdeutlichen, dass es nicht um Überwachung der Angestellten geht.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

In einigen Ländern, beispielsweise in den Vereinigten Staaten, sind viele Unternehmen und Bundesbehörden sogar gesetzlich verpflichtet, Schulungen zum Sicherheitsbewusstsein durchzuführen. So schreibt beispielsweise der HIPPA (Health Insurance Portability and Accountability Act) vor, dass alle betroffenen Einrichtungen des Gesundheitswesens und Geschäftspartner ihren Mitarbeitern Schulungen zum Thema Cybersicherheit anbieten müssen. Eine derartige Pflicht gibt es in Deutschland zwar nicht, allerdings schreibt der Gesetzgeber für Telekommunikationsanbieter und Betreiber kritischer Infrastrukturen die Bestellung eines IT-Sicherheitsbeauftragten vor.

Unabhängig davon sollten aber alle relevanten Personen ihre Rolle im Falle eines Cyberangriffs kennen, bevor dieser Fall eintritt. Nicht nur die Unternehmensführung muss sicherstellen, dass die Mitarbeiter über diese Fähigkeiten verfügen, sondern auch die IT-, Personal-, PR- und Rechtsabteilungen sind dafür verantwortlich. Workshops für die gesamte Belegschaft sind zwingend notwendig, um die Rollen und Handlungsempfehlungen im Ernstfall zu klären und eventuelle Lücken im Plan zu schließen. Technologie zur Reaktion auf Vorfälle sollte vorhanden und einsatzbereit sein, wenn das Unvermeidliche eintritt. Nur so können sich sowohl Mitarbeiter als auch Führungskräfte mit einem sicheren Gefühl auf Homeoffice einlassen.

Über den Autor: Bernd Hennicke ist Vice President Produktmarketing bei OpenText.

(ID:48204764)