Auf dem Weg zu einer neuen Security-Kultur Wie die Pandemie unsere Cybersecurity-Kultur verändert
Anbieter zum Thema
Je mehr sich in der Krise verändert, desto mehr suchen wir nach Sicherheit. Während das Internet voller Beiträge zu den größten Cybersecurity-Bedrohungen des Jahres, den schnellsten Wegen zur Resilienz, Strafen wegen nicht eingehaltener Compliance, Datenlecks und wichtigen Investitionen in die digitale Transformation ist, erhält ein wichtiges Thema kaum Aufmerksamkeit.

Durch die Umwälzungen der Covid-19 Krise stehen CISOs, Security-Teams und das gesamte Unternehmen an einem Wendepunkt. Den Sicherheitsprofis verdanken Unternehmen viel und vor allen Dingen einen reibungslosen Geschäftsbetrieb, auch und gerade in der Krise. Cyber-Sicherheit ist längst kein Thema mehr, das in der IT-Abteilung hinter verschlossenen Türen verhandelt wird. Durch die Zunahme von Heimarbeitsplätzen ist jeder Mitarbeiter in der Pflicht, sich über Sicherheitsvorgaben zu informieren und diese einzuhalten. Die Unternehmen wiederum stehen vor der Aufgabe, bei Mitarbeitern Aufmerksamkeit dafür zu schaffen, dass Cyber-Sicherheit für einen funktionierenden Geschäftsbetrieb unerlässlich ist. In der aktuellen Situation muss jeder im Unternehmen seinen Teil dazu beitragen. Es stellt sich die Frage, wie wir einen langfristigen Kulturwandel schaffen – hin zu einer neuen, allgemeineren Security-Kultur, die das ganze Netzwerk umfasst?
Phishing auf dem Vormarsch
Mitarbeiter im Home Office sind eher geneigt, Informationen im Internet zu suchen, gerade weil der persönliche Kontakt zur IT fehlt. Leider nutzen sie so oft neue oder nicht vertrauenswürdige Informationsquellen und kreieren so ungewollte ein Sicherheitsproblem für das Unternehmen. Malware mit Corona-Bezug, die über gefälschte E-Mails ins System kommt, ist eine der einfachsten und effizientesten Methoden, viele Nutzer in kurzer Zeit zu erreichen. Kaum verwunderlich also, dass Phishing in der Pandemie eine der führenden Ursachen für Datenschutzverletzungen ist. Dazu kommt, dass die Hacker ihre Methoden mit einer Vielzahl von fortschrittlichen Techniken kontinuierlich verbessern. Phisher zielen auf SaaS-Anwendungen von Unternehmen ab. Diese machen mittlerweile circa 29 Prozent aller Angriffe auf Office-365-Anwendungen aus. Außerdem nutzen Hacker auch zunehmend persönliche Informationen, die auf Social-Media-Seiten geteilt werden, um authentischer aussehende Nachrichten zu erstellen. Infolgedessen sind diese Angriffe immer schwieriger zu erkennen, selbst für die technisch versiertesten Nutzer. Die Aufklärung der Mitarbeiter ist hier entscheidend, indem sie gezielt informiert und im besten Fall auch praktisch eingewiesen werden.
Schatten-IT oder die offene Hintertür
Mitarbeiter im Home Office werden von Sicherheitsverantwortlichen so gut wie möglich ausgestattet, denn im Idealfall sollen die Mitarbeiter für ihre eigene Sicherheit sorgen können. Diese Praxis bringt jedoch auch eine höhere Fehlerwahrscheinlichkeit mit sich: Daten können bei nicht vertrauenswürdigen Quellen landen, Update-Protokolle nicht befolgt werden, wodurch ungepatchte Schwachstellen zunehmen. Falsch konfigurierte Cloud-Server, Multi-Cloud-Umgebungen und unsichere APIs machen die Systeme anfällig für Hacker. Außerdem laden Mitarbeiter immer häufiger unsichere öffentliche SaaS-Tools ohne Genehmigung der IT-Abteilung herunter. Kein Wunder also, dass laut Forbes mehr als eines von fünf Unternehmen einen Cybervorfall aufgrund dieser sogenannten Schatten-IT erlebt, also einem nicht autorisierten Tool.
Als Teil der sich ändernden Sicherheitskultur muss Sicherheit jedoch zur Verantwortung eines jeden werden. Das erfordert ein Umdenken, bei dem wir Sicherheitslücken nicht mit nach Hause nehmen, geschweige denn mit ins Büro.
Der Beginn eines Rollenwechsels in der IT-Security
Untersuchungen vom Beginn der Pandemie zeigen, dass 47 Prozent der Sicherheitsteams allgemeine IT-Aufgaben übernehmen und 90 Prozent in Vollzeit von zu Hause aus arbeiten. Diese Entwicklung ist besorgniserregend. IT-Security-Teams müssen ihre Arbeitszeit auf immer mehr Aufgaben verteilen, wobei die Bedrohungen kontinuierlich steigen.
Eine positive Folge dieser Entwicklung könnte jedoch die Verankerung der Cybersicherheit in der gesamten IT darstellen, insbesondere da Investitionen wie DevSecOps dazu beitragen, Silodenken aufzubrechen. Ein nützliches Learning aus der Pandemie: Security-Experten sollten nur dort eingesetzt werden, wo sie gebraucht werden. Gleichzeitig muss besser darauf geachtet werden, wie sie in den Rest des IT-Teams passen. Priorisiert man den Einsatz dieser Fachkräfte, können langfristig auch einige Aufgaben automatisiert werden.
Sicherheitsexperten sind ein rares Gut
Auch wenn der Fachkräftemangel ein wachsendes Problem darstellt, gilt es, ihn in der IT-Sicherheit zu vermeiden. Personalengpässe führen bereits jetzt dazu, dass Unternehmen nicht genügend Sicherheitsexperten haben, um die IT-Sicherheit zu gewährleisten. Das macht vielen CISOs Sorgen. Laut einer Studie des Personaldienstleisters Robert Half ist es für fast die Hälfte (41 Prozent) der CIOs am schwierigsten, IT-Sicherheitsexperten einzustellen. Bereits 2018 wurde geschätzt, dass im IT-Sicherheitsbereich bis 2022 alleine in Europa mehr als 350.000 qualifizierte Arbeitnehmer fehlen werden. Die Pandemie wird diese Tendenz noch beschleunigen.
Jetzt ist also kein guter Zeitpunkt, diese Rollen zu verwässern, sondern vielmehr sollte ihre Neuverteilung genutzt werden, um die Cybersicherheit als zentralen Unternehmenswert zu stärken und zu etablieren.
Der CISO der Zukunft ist vernetzt
CISOs sind ein festes Mitglied in Entscheidungsgremien, in Zukunft wird ihre Rolle jedoch in der Unternehmenshierarchie noch stärker nach oben und unten vernetzt. Besonders wenn es um neue Investitionen geht, werden sie schon jetzt in die Entscheidungsfindung eingebunden. Denn die Frage danach, welche Unternehmensbereiche besonderen Schutz brauchen, liefert meist andere Antworten, als zunächst gedacht. Sie zeigen aber vor allem auf, wie wichtig der Blick durch die Security-Brille für das gesamte Unternehmen inzwischen ist.
Trotzdem wird es für CISOs und ihre Teams nicht leichter: Die Belegschaft im Büro und im Home-Office zu unterstützen ist schon jetzt eine Mammutaufgabe. Dennoch müssen CISOs einen Sicherheitsvorfall inmitten einer Flut von False Positives und Alarmen mit niedriger Priorität in kurzer Zeit erkennen können. Mit Blick auf die Zukunft wird die IT-Security aber mit einer noch flexibleren Belegschaft konfrontiert werden, was das gesamte Team dazu zwingt, in Bezug auf die Bedrohungslage agiler zu werden als je zuvor.
Gerade wegen der Schwierigkeiten und Herausforderungen der letzten Monate hat sich gezeigt, dass die IT-Sicherheit von enormer Bedeutung für den Geschäftsbetrieb ist. Sie verdient eine stärkere Anerkennung und Beachtung innerhalb der IT-Abteilung und der Unternehmensführung, denn durch die Pandemie wird die gesamte Belegschaft Teil der IT-Sicherheitskultur des Unternehmens.
Über den Autor: Matthias Maier ist Security-Experte bei Splunk.
(ID:47304875)