• Sonja Stirnimann

Cyber Security trifft Human Faktor: Die Technologie ist nicht für alles verantwortlich!

Unsere Verletzbarkeit ist flächendeckend offensichtlicher als Jahrzehnte zuvor. Die letzten Jahre betraf es immer nur die anderen. Nun betrifft es uns alle. Die Lösung liegt im Menschen. Wie meistens. Auch eine effektive Kultur für eine unternehmensweite Cyber Sicherheit lässt sich nicht mit der Technologie allein erschaffen.



Verletzbarkeit – bewusst und unbewusst


In Territorium Cyber reicht genügt ein einziger Mitarbeitende, der auf eine Phishing-E-Mail klickt, um einem Angreifer Einlass in die Systeme zu verschaffen. Im privaten wie beruflichen Umfeld. Die kostbarste Ressource – der sogenannte Kronjuwel ist innerhalb kürzester Zeit in Gefahr.

Dieses Handeln mit der Folge des Einlasses in die Umgebung kritischer Daten kann zu einer Beschädigung oder einem Verlust dieser führen – abhängig vom jeweiligen Modus Operandi der durch die Social Engineers angewendet wird.

Das Fallbeispiel WannaCry mit der Datenverschlüsselung oder das Muster, kritische Infrastrukturen zum Absturz zu bringen, als die Überwachung der nuklearen Strahlung in der Ukraine durch den Angriff von Petra abgeschaltet wurde, mögen dem einen oder anderen noch in Erinnerung sein.


Risikofaktor Mensch im Territorium Cyber


Einer der am schwierigsten kontrollierbaren Aspekte in Bezug auf die Sicherheit ist die Insiderbedrohung durch menschliches Verhalten. Ich sehe in meiner täglichen Arbeit mit unseren Kunden immer wieder wie gross das Potential zur Aufklärung ist. Das Phantom des fremden Angreifers ist allge genwärtig, jedoch nicht die Tatsache, dass weit über 60% der Cyberkrimininellen zu den sogenannten Kritischen Informationstechnologie Insidern (KITI) gehören. Diese Tatsache wird erfolgreich verdrängt. Nach wie vor. Im Rahmen unserer Sensibilisierungsmassnahmen gelingt es den Verantwortlichen dieses Wissen effizient allen Mitarbeitenden zugänglich zu machen. Zum Schutz der «Kronjuwelen».

Präventionsmassnahme: Cyber Kultur


Eine effektive Kultur der Cybersicherheit innerhalb eines Unternehmens steuert das Verhalten der Mitarbeiter, um diese Risiken zu minimieren. Eine Kultur der Cybersicherheit liegt dem Geschäftsgebahren – verankert im Code of Conduct, weiteren Richtlinien und auch "ungeschriebenen Regeln" zugrunde, die die Mitarbeitenden bei der Ausübung ihrer Aufgaben- und Verantwortungsgebiete praktizieren.


Es reicht ein einziger Fehler eines Mitarbeiters, um das ganze Unternehmen zu zerstören.

Die Zerstörung unserer Kronjuwelen (Daten) genauso wie unsere Reputation stehen im Risiko – tagtäglich – und wollen von uns Menschen geschützt werden. Wir als Menschen nehmen jedoch noch allzu oft die Rolle des «schwächsten Gliedes» wahr. Das kann und muss sich ändern!


Die effektivste Prävention zur Minimierung von Cyberrisiken sind richtig identifizierte und implementierte Massnahmen, massgeschneidert auf das individuelle Unternehmen und dessen Kronjuwelen. Dazu gehört an erster Stelle die richtige Kultur im Territorium Cyber.


«Corporate Cyber Culture» - Erfolgsfaktor


Eine Unternehmensweite Cybersicherheit erfordert bei weitem mehr als nur die neueste Technologie. Es braucht jeden einzelnen Mitarbeitenden zum Gelingen einer Kultur und somit der Minimierung der Risiken im Territorium Cyber. Die grösste Wirkung und somit auch Verantwortung liegen bei den Vorbildern. Die Chefetage ist gefordert. Verwaltungs- und Aufsichtsräte miteingeschlossen. Ihnen werden mehrere wesentliche Rollen zugesprochen. Der Erfolg einer unternehmensweiten Cyber Kultur ist wesentlich davon abhängig, wie stark sich die Verantwortlichen auf die Thematik einlassen.


Unternehmenskultur 4.0

Gemäss Definition von Ed Schein in seinem Modell besteht die Unternehmenskultur auf folgenden drei Säulen:


  • Glaubenssystem

  • Wertesystem

  • Verhalten*


*beschrieben von Ed Schein als Artefakte, Schöpfungen und die Kunst, Technologie und sicht-/hörbare Verhaltensmuster sowie Mythen, Helden, Sprache, Rituale und Zeremonien.

Die Führungskräfte haben basierend auf den drei genannten Säulen eine besondere Verantwortung, diese drei Pfeiler zu etablieren, formen und mit der Strategie und Zielen in Einklang zu bringen.


Praktische Lösungen sind gefragt. Insbesondere im Bereich Cybersicherheit bedarf es die strategisch professionelle Kombination von Technologie und menschlichem Verhalten. Der Reifegrad dieser «Corporate Cyber Culture» ist in vielen Unternehmen, die ich begleite, ausbaufähig.


Es macht Freude zu sehen, wie wir gemeinsam mit den Verantwortlichen und ihren Mitarbeitenden dem Glaubens- und Wertesystem auf die Spur kommen und das daraus resultierende Verhalten analysieren. Ein sehr kreativer Prozess der allen Beteiligten neuen Facetten im Umgang mit Risiken, Cyber und Sicherheit offenbaren.

Wo würden Sie den Reifegrad Ihres Unternehmens in Bezug auf die «Corporate Cyber Culture» ansiedeln?

Ihre

Sonja Stirnimann


17 Ansichten

© 2020 Sonja Stirnimann

Impressum