GlobalSign Blog

11 Jul 2017

Wie Sie eine Sicherheitsmentalität im Unternehmen etablieren

Cybersicherheit und Datenschutz sind im Unternehmen schon lange nicht mehr nur Aufgabe der IT-Abteilung und sind in aller Munde, vom Management-Team bis zu Angestellten im Außendienst.

Die Medien und Browser, wie Chrome, haben schon gute Arbeit geleistet und die Aufmerksamkeit für Sicherheit gestärkt. Aber viele die sich mit IT nicht so gut auskennen, haben immer noch unzureichendes Wissen, wie man sich wirklich cybersicher verhält.

Das ist ein guter Zeitpunkt Ihnen ein paar Tipps zu geben, wie Sie Cybersicherheit in Ihrem Unternehmen umsetzen können.

Cybersicherheit startet im Management-Team oder im Vorstand

Gute Veränderungen beginnen meistens von oben. Wenn Sie eine Mentalität für Cybersicherheit vorantreiben wollen, müssen Sie das Management-Team involvieren. CXOs und der Vorstand sind oft schwer zu überzeugen, wenn Sie sich nicht gut vorbereiten, vor allem, wenn Sie nicht zeigen können wie sich eine Investition rechnet.

Daher ist es wichtig zu zeigen, wie viel billiger Cybersicherheit im Vergleich zu den Auswirkungen eines Datenmissbrauchs ist. Die Ponemon Studie von 2015 beziffert “durchschnittliche jährliche Verluste für Unternehmen weltweit (auf Grund von Cyberkriminalität) auf mehr als $7,7 Millionen”.

Noch schlimmer als die Kosten einer Datenpanne sind aber Folgen, die sich nicht so einfach berechnen lassen. Manche Unternehmen schaden Ihrem Ruf dadurch gewaltig oder sehen Aktienkurse in den Keller stürzen.

TalkTalks Aktienkurs zum Beispiel ist nach der dritten Datenpanne laut Berichten um 10.7% gefallen, auf 239.7 Pence. Derzeit ist der Aktienpreis 210 Pence. Natürlich weiß man nicht, ob das zu 100% an dem Cyberangriff liegt, aber, wenn man den Aktienpreis des letzten Jahres betrachtet, kann man ab Oktober 2015 einen starken Abfall sehen, bevor sich der Aktienkurs langsam wieder erholt. Im Oktober 2015 kam TalkTalk durch die dritte Datenpanne zu Schaden.

stock for Talk Talk

Grafik 1 - Google Finance Abbildung

Damit die IT CXOs überzeugen kann, müssen diese sich auf deren Sprache einlassen, und Finanzen spielen dabei eine zentrale Rolle. Im Umkehrschluss heißt das, auf Fachterminologie zu verzichten.

Sie sollten den Vorstand und die CXOs daran erinnern, dass ohne ausreichend Cybersicherheit Unternehmensgeheimnisse riskiert werden. Innovationen werden schwieriger und Sie können sich weniger leicht vom Wettbewerb abheben.

CXOs und der Vorstand sollten mit gutem Beispiel vorangehen und Empfehlungen für Cybersicherheit im eigenen Tagesgeschäft umsetzen. Wahrscheinlich reisen sie viel und verlassen sich unterwegs auf wichtige Kommunikationen, aber wissen sie wie leicht die Kommunikation in Transit abgefangen werden kann? Nutzen sie Passwörter mehr als einmal? Es macht Sinn all diese Fragen zu stellen, um aufzuzeigen, wie sie sich und das Unternehmen gefährden. In Zukunft überlegen sie vielleicht zweimal, bevor sie sich in ein öffentliches WLan einloggen und vertrauliche Firmendaten verschicken.

Investieren Sie unternehmensweit in Cybersicherheitstraining

Sobald Sie die Genehmigung und die Unterstützung vom Vorstand bis zum Management-Team haben, sollten Sie eine langfristige Strategie für Cybersicherheitstraining für alle Mitarbeiter erarbeiten.

Natürlich sollten die Informationen auf einem einfachen Weg weitergegeben werden, ohne die Produktivität der Mitarbeiter einzuschränken. Bedenken Sie die folgenden Methoden:

Cybersicherheit einführen

Erarbeiten Sie zusammen mit Ihrer Personalabteilung ein Trainingsprogramm zur Cybersicherheit für neue Mitarbeiter. Jeder neue Mitarbeiter sollte schon bevor er überhaupt Zugang zu IT-Equipment hat grundlegendes Training in Cybersicherheit bekommen. Die folgenden Themen sind relevant:

  • Verwaltung von Passwörtern.
  • Die Grundlagen von Verschlüsselung und digitalem Signieren, falls Sie die Lösungen nutzen.
  • Phishing-Angriffe verstehen.
  • Backups von Arbeit erstellen.
  • Persönliche und wichtige Informationen senden.
  • Accountlimits, Zugang und Authentifizierung.
  • Richtlinien und Empfehlungen.

Natürlich will ein neuer Mitarbeiter so schnell wie möglich mit der Arbeit beginnen und sieht das Training eventuell nicht als Priorität, vor allem wenn er damit das erste Mal konfrontiert wird. Geben Sie dem Mitarbeiter unterstützendes Material an die Hand, damit er sich vor Beginn informieren kann. Danach kann er sich mit seinem Equipment vertraut machen und alles nach seinen Bedürfnissen einstellen.

Dies ist ein guter Zeitpunkt klarzumachen, dass die schwächste Stelle von Cybersicherheit im Unternehmen die Mitarbeiter sind. Wenn Mitarbeiter die Grundlagen verstanden haben, können sie darauf aufbauen.

Regelmäßiges Cybersicherheitstraining

Neue Angriffe oder Schwachstellen finden sich täglich, manche beliebter als andere. Die IT-Abteilung ist dafür verantwortlich regelmäßige Newsletter über verschiedene Angriffe zu verschicken und zu erklären, worauf zu achten ist.

Sie können auch regelmäßig Phishing-Angriffe simulieren und daraus eine Art Gewinnspiel machen, damit Ihre Mitarbeiter immer auf der Hut vor Phishing-E-Mails oder -Websites sind. Der Erste, der eine Phishing-E-Mail an die IT-Abteilung weiterleitet kann etwas gewinnen.

Cybersicherheit: Richtlinien und Anleitungen

Zusammen mit Ihrer Personal- und Rechtsabteilung sollten Sie eine Cybersicherheitsrichtlinie für Ihr Unternehmen aufsetzen. Dies sollte auf die schwächsten Punkte des Unternehmens abzielen. Falls zum Beispiel viele Ihrer Mitarbeiter die eigenen Handys und Laptops für die Arbeit nutzen, müssen Sie eine Richtlinie für mobiles Arbeiten oder BYOD (Bring Your Own Device) erstellen. Falls viele Ihrer Mitarbeiter von unterwegs arbeiten, ist eine Richtlinie oder Best Practices Hilfestellung für Arbeiten von zu Hause ratsam.

Die Richtlinien müssen regelmäßig mit neuen Gefahren und Abwehrstrategien aktualisiert werden. Die aktuelle Version muss regelmäßig an alle Mitarbeiter des Unternehmens kommuniziert werden.

Regelmäßige Kommunikation über Cybersicherheit an Mitarbeiter

Unser letzter Tipp, um Cybersicherheit im Unternehmen zu etablieren ist sicherzustellen, dass Sie sich kontinuierlich mit Cybersicherheit im gesamten Unternehmen befassen. Das bedeutet:

  • Mitarbeiter über neue Richtlinien und Anweisungen informieren.
  • Viertel- oder halbjährliche Meetings oder Training zu Cybersicherheit.
  • Cybersicherheit einen Abschnitt in Ihrem Unternehmensnewsletter widmen.
  • An Cybersicherheitsinitiativen wie National Cyber Security Alliance teilnehmen.

Oder (und das ist am besten) alle Optionen gleichzeitig!

Kommunikation über Cybersicherheit kann auch Dinge, wie einen Plan für den Einsatz im Notfall und Aufklärung von Mitarbeitern im Falle eines Datenlecks umfassen. Wie schulen Sie Ihre Mitarbeiter und wie sollen diese im Notfall reagieren?

Initiativen für Cybersicherheit, wie die National Cyber Security Alliance, veranstalten Events wie den National Cyber Security Awareness Monat, in dem Unternehmen für Cybersicherheit im Unternehmen werben. Sie können über Social Media, E-Mails, Events und vieles mehr daran teilnehmen. Für Ihre Mitarbeiter ist es eine tolle Möglichkeit an solchen großen Initiativen teilzunehmen. Andere ähnliche Initiativen sind zum Beispiel die Security Serious Woche in Großbritannien und der Cyber Security Monat in Europa.

Als weltweites Unternehmen haben wir an allen drei Events teilgenommen und teilen deshalb unter dem Hashtag #CyberAware Tipps auf Twitter. Folgen Sie uns auf Twitter, um mit uns Cybersicherheit zu fördern.

von Lea Toms

Artikel teilen

Jetzt Blog abonnieren