Unser Berater Philipp Panagiotou ist seit 4 Jahren bei der in-factory GmbH tätig und ist seitdem bei einem unserer Großkunden in der Finanzbranche eingesetzt.
In der heutigen digitalen Welt ist die IT-Sicherheit ein entscheidender Faktor für Unternehmen, insbesondere in der Finanzbranche. Als langjähriger Partner namhafter Unternehmen in diesem Bereich haben wir uns intensiv mit dem Thema auseinandergesetzt. Insbesondere die Security Awareness, also das Bewusstsein und Verhalten von Mitarbeitenden im Hinblick auf IT-Sicherheit, spielt dabei eine große Rolle. In dem folgenden Interview teilt unser Berater Philipp Panagiotou sein Wissen und gibt wertvolle Einblicke in die Herausforderungen und Maßnahmen der effektiven Informationssicherheit.
IT-Sicherheit in der Finanzbranche: Unser Berater gibt Einblicke in das Thema Security Awareness
Hallo Philipp, vielen Dank, dass du in diesem Interview dein Wissen zum Thema IT-Sicherheit und Security Awareness mit uns teilen möchtest. Kannst du uns einen Einblick geben, wie IT-Sicherheit in Unternehmen verbessert werden kann, um Datenlecks und Hackerangriffe zu verhindern? Welche Rolle spielt dabei die Investition in Technologie und die Mitarbeitenden?
Philipp: In den Medien ist das Thema IT-Sicherheit derzeit allgegenwärtig. Immer mehr Unternehmen sind von Hackerangriffen betroffen, die zu Datenlecks und anderen Sicherheitsproblemen führen können. Einerseits haben viele Unternehmen noch nicht die richtige Strategie gefunden, um sich ausreichend vor solchen Angriffen zu schützen. Insbesondere kleinere und mittelständische Unternehmen (KMUs) sind häufig noch nicht ausreichend technisch aufgestellt, um sich gegen Hackerangriffe zu verteidigen.
Andererseits sind sich viele Unternehmen nicht bewusst, dass der Faktor Mensch ein wichtiger und kritischer Faktor in der IT-Sicherheit ist. Jede Kette ist nur so stark wie ihr schwächstes Glied, und das gilt auch für die IT-Sicherheit. Wenn Unternehmen in technische Sicherheitsmaßnahmen investieren, den Faktor Mensch dabei aber außer Acht lassen, führt das zu einer Schwäche im Gesamtsystem. Technische Schwächen lassen sich in der Regel relativ einfach beheben, etwa durch regelmäßige Updates oder den Einsatz neuer Software. Das Thema Mensch hingegen bleibt immer präsent.
Es ist daher wichtig, dass Unternehmen sich bewusst werden, wie wichtig der Faktor Mensch in der IT-Sicherheit ist. Nur wenn Mitarbeitende für das Thema sensibilisiert sind und sich bewusst sind, welche Rolle sie in der IT-Sicherheit spielen, können Unternehmen sich effektiv vor Hackerangriffen schützen. Zum Beispiel können Unternehmen in Schulungen und Trainings für ihre Mitarbeitenden investieren, um das Bewusstsein für IT-Sicherheit zu erhöhen und somit das Sicherheitsbewusstsein in der gesamten Organisation zu fördern. Gleichzeitig sollten Unternehmen auch in technische Sicherheitsmaßnahmen investieren, um sich bestmöglich zu schützen.
Ein wichtiges Thema, mit dem auch wir bei der in-factory GmbH uns beschäftigen, auch im Bezug auf unsere Kundenprojekte. Wie kann sichergestellt werden, dass alle Mitarbeitenden im Unternehmen ein Bewusstsein für IT-Sicherheit haben?
Philipp: Als Unternehmen, das sich mit Datenintegration und Datenmanagement beschäftigt, hat man gegenüber dem Kunden eine große Verantwortung, da man mit sensiblen Daten arbeitet. Auch wenn es Vorschriften wie die Testdatenanonymisierung gibt, ist es wichtig, dass alle Mitarbeitenden ein Bewusstsein dafür haben, wie kritisch diese Daten sind, insbesondere in Branchen wie der Automobil- oder Finanzbranche. Es dürfen keine Schwachstellen entstehen, die es einem Angreifer ermöglichen könnten, sich über Social Engineering oder ähnliche Methoden Zugang zum System zu verschaffen.
Dabei spielt der Faktor Mensch eine entscheidende Rolle. Es gibt viele Faktoren, die zusammenspielen müssen, um ein sicherheitsgewährleistendes oder sicherheitskonformes Verhalten – sprich: Security Awareness – bei jedem einzelnen Mitarbeiter und jeder einzelnen Mitarbeiterin zu schaffen. Das betrifft nicht nur das Wissen über Sicherheitsrisiken und den Umgang mit sensiblen Daten, sondern auch die Einhaltung von Sicherheitsrichtlinien und die Verantwortung jedes einzelnen für die Sicherheit des Unternehmens. Nur wenn jeder Mitarbeitende sich dieser Verantwortung bewusst ist und proaktiv dazu beiträgt, können Unternehmen ein hohes Maß an IT-Sicherheit gewährleisten.
Die drei Faktoren effektiver Informationssicherheit: Mensch, Technik, Unternehmen
Was ist das Ziel von Security Awareness? Und was muss dabei beachtet werden?
Philipp: Das Ziel von Security Awareness ist es, Mitarbeitende für das Thema Informationssicherheit zu sensibilisieren, um Sicherheitsvorfälle zu minimieren. Ein Data Breach stellt für jedes Unternehmen eine große Bedrohung dar, da es sowohl die Außendarstellung verschlechtert als auch die Kosten signifikant erhöht. Obwohl Security Awareness von großer Bedeutung ist, gibt es noch keine genaue Definition, da es viele Faktoren mit einbezieht. Es gibt jedoch bereits Ansätze zur besseren Definition, die sich an drei Faktoren orientieren: Kognition, Handlungsabsicht und Organisation. Kognition bezieht sich darauf, dass Mitarbeitende über das notwendige Wissen und die Erkenntnis verfügen müssen, welche IT Security Maßnahmen existieren. Handlungsabsicht bedeutet, dass Mitarbeitende ein Interesse an sicherheitskonformem Verhalten haben. Die Organisation des Unternehmens selbst spielt ebenfalls eine wichtige Rolle, indem sie den Mitarbeitenden den Rahmen bietet, sich überhaupt sicherheitskonform zu verhalten. Das kann beispielsweise durch Schulungen und eine klare Struktur vorgelebt werden.
Kannst du uns weitere Maßnahmen nennen, die derzeit aus deiner Erfahrung in Unternehmen eingesetzt werden? Und wie können Unternehmen den Erfolg von Security Awareness-Maßnahmen messen und sicherstellen, dass diese Maßnahmen auch tatsächlich wirksam sind?
Philipp: In der Praxis gibt es verschiedene Maßnahmen. Oft wird eine Schulung zu Risiken von Cyberangriffen und die Bedeutung von Informationssicherheit im Rahmen des Onboardings abgehalten, oder es wird geprüft, wie Mitarbeitende auf falsche Phishing-Mails reagieren. Es werden auch USB-Dummies genutzt, die in Unternehmen verteilt werden, um zu überprüfen, ob Mitarbeiter sie verwenden. Dies kann durch Systemprotokolle oder automatisierte Nachrichtenübermittlung überprüft werden. Ein weiterer Ansatz besteht darin, die Anzahl der Vorfälle zu überprüfen, die mit IT-Sicherheit zu tun haben. Sind Mitarbeiter auf Verdacht von Phishing- oder Social-Engineering-Angriffen aufmerksam geworden? Ebenfalls wichtig ist die Passwortstärke – ein altbekanntes Thema. Auch das Bring-your-own-Device-Modell kann es einfacher machen, Schadsoftware einzusetzen. Daher müssen die Mitarbeitenden gut geschult und für das Thema Security Awareness sensibilisiert werden.
Phishing, Malware, Social Engineering und ineffektive Sicherheitspraktiken stellen große Risiken in Bezug auf IT-Sicherheit dar. Diese Angriffe zielen oft auf den Menschen ab, anstatt auf die Systeme selbst. Aus diesem Grund ist Security Awareness ein äußerst wichtiges und individuelles Thema für jedes Unternehmen. Doch trotz der Bedeutung von Security Awareness gibt es derzeit kein angemessenes Kennzahlensystem, das zum Beispiel über die reine Anzahl von Mitarbeitenden hinausgeht, die auf eine Phishing-E-Mail geklickt haben. Ein solches Kennzahlensystem ist jedoch von großer Bedeutung, auch im Hinblick auf ISO-Zertifizierungen, bei der Unternehmen einen hohen Sicherheitsstandard nachweisen müssen. Obwohl Kennzahlen gefordert werden, gibt es dafür keine spezifischen Vorgaben. Es fehlt an Kennzahlen, um den Erfolg von Security Awareness-Maßnahmen zu messen. Das führt dazu, dass Unternehmen oft an diesen Maßnahmen sparen, da nur die Kosten gesehen werden. Oft wird erst gehandelt, wenn es schon zu spät und ein Data Breach bereits eingetreten ist.
Auch wenn offizielle Kennzahlen aktuell noch nicht definiert sind – hast du aus deiner bisherigen Erfahrung einen Vorschlag, welches Framework zur Messung verwendet werden könnte?
Framework zum Messen von Security Awareness (In Anlehnung an: Kruger et al. 2006) – Kruger, Hennie, Lynette Drevin und Tjaart Steyn (2006). „A Framework for Evaluating ICT Security Awareness“. In: Proceedings of the ISSA 2006 from Insight to Foresight Conference. Johannesburg
Philipp: Ja, ich habe eine Idee zu einem Framework, dass bei der Messung der Security Awareness im Unternehmen helfen kann. Der erste Ansatz besteht darin, die Interessen der Stakeholder zu analysieren und daraus die Bereiche, die für das Unternehmen am interessantesten sind, abzuleiten. Daraus erschließen sich Systemdaten, wie zum Beispiel die Anzahl der Incidents, die für die Messung genutzt werden können, sowie immer der Faktor Mensch als Mitarbeitende. Um deren Wissen oder Verhalten zu erfragen und empirische Daten zu erhalten und auszuwerten, können beispielsweise Umfragen durchgeführt werden. Dann können Systemdaten und Daten aus Umfragen kombiniert und daraus das aktuelle Security Awareness-Level abgeleitet werden. Dieses Framework kann regelmäßig angewendet werden, um zu sehen, ob Maßnahmen wirksam sind oder geändert werden müssen.
Der Mensch als schwierigster Faktor: Wie Security Awareness das Verhalten von Mitarbeitern beeinflusst
Der Faktor Mensch ist ein wichtiger Bestandteil beim Thema IT-Sicherheit – wie können Unternehmen sicherstellen, dass die Mitarbeitenden sich (gerne) sicherheitskonform verhalten?
Drei Faktoren effektiver Informationssicherheit (In Anlehnung an: Harich 2018, S. 501) – Harich, W. Thomas (2018). IT-Sicherheitsmanagement. Praxiswissen für IT Security Manager. 2. Aufl. Frechen: mitp Verlags GmbH & Co. KG
Philipp: Die effektive Informationssicherheit basiert auf drei Faktoren: dem Faktor Mensch, der Technik und dem Unternehmen. Der Faktor Mensch gilt dabei als der schwierigste, insbesondere in Bezug auf das “Compliant Behavior”. Das menschliche Verhalten zu beeinflussen, ist ein wichtiger Bestandteil der Security Awareness. Durch Kampagnen und Maßnahmen sollen die Mitarbeitenden eines Unternehmens dazu gebracht werden, sich sicherheitskonform zu verhalten. Damit sie sich sicherheitskonform verhalten können, müssen sie über das Wissen, das Bewusstsein und die Fähigkeit dazu verfügen. Das Unternehmen muss die Mitarbeiter also unterstützen, damit sie sich sicherheitskonform verhalten können. Der schwierigste Aspekt besteht jedoch darin, wie man die Mitarbeiter dazu motivieren kann, sich gerne sicherheitskonform zu verhalten. Dies hängt von verschiedenen Faktoren wie der Einstellung, Motivation und persönlichen Handlungswirklichkeit ab und ist ein sehr komplexes Thema, das auch in die Sozialpsychologie hineinreicht.
Vielen Dank für das interessante Interview. Hast du noch einige abschließende Worte, die du mit uns teilen möchtest?
Philipp: Es gibt viel mehr zu beachten, als man auf den ersten Blick denkt, wenn es um das Thema Security Awareness geht. Viele Unternehmen sind sich nicht bewusst, wie wichtig der Faktor Mensch ist. Es gibt zwar schon viele Maßnahmen, wie z.B. falsche Phishing-Mails, aber es gibt noch viel Luft nach oben und es sollte mehr in die Security Awareness investiert werden. Das Problem dabei ist, dass man den Erfolg solcher Maßnahmen oft erst messen kann, wenn es bereits zu einem Data Breach gekommen ist. Die Politik versucht bereits mit der DSGVO und ISO-Zertifizierungen das Bewusstsein für dieses Thema zu schärfen. Da es jedoch noch kein einheitliches Kennzahlensystem gibt, zeigt dies, wie komplex das Thema ist und dass es noch nicht die Relevanz hat, die es haben sollte. Als IT-Experten wissen wir um die Relevanz der Security Awareness. Das Thema betrifft jede:n Einzelne:n und insbesondere Unternehmen sollten es ernst nehmen, um sich Zeit, Geld und Aufwand durch frühe Prävention von Data Breaches zu sparen. Durch eine umfassende Schulung und Sensibilisierung der Mitarbeitenden sowie die Implementierung von klaren Richtlinien und Verfahren kann die Sicherheit von Informationen und Daten gewährleistet werden. Es müssen sowohl der technische, organisatorische als auch der menschliche Aspekt berücksichtigt werden, wenn es um die Informationssicherheit geht.
