Cybersicherheit ist Teamsport. Zielführendes Change-Management
Herzlich Willkommen zu unserem Newsletter!
Hier geben wir hier einen Überblick über geplante Aktivitäten und beleuchten jeden Monat einen Aspekt sicherer Digitalisierung.
Sie bevorzugen ein Video zum Thema?
Unseren 30-Minuten-Talk zum Thema finden Sie hier.
Aus der technologischen Perspektive ist das Thema Cybersicherheit gut zu optimieren. Es wird eine Ist-Analyse erstellt, auf dieser Basis werden potenzielle Risiken analysiert und klassifiziert und je nach Risikoprofil des Unternehmens im Anschluss entschieden, welche nächsten Schritte in welchen Zeiträumen unternommen werden, um sie aufzulösen.
Doch technologische Optimierung ist zur tatsächlichen Absicherung eines Unternehmens gegen Cyberangriffe allein nicht ausreichend: Das größte Einfallstor für Cyberangriffe sind die Mitarbeitenden. Phishing-Kampagnen sind immer noch erfolgreich, Benutzer-Credentials werden häufig auch über Anrufer, die sich z.B. als IT-Helpdesk ausgeben, erschlichen, etc. Es gilt, sämtliche Mitarbeitenden für das Thema zu sensibilisieren und dafür zu sorgen, dass Maßnahmen, die die Sicherheit erhöhen, aber dem Arbeitskomfort des Mitarbeitenden abträglich sind (z.B. MFA), als notwendig akzeptiert und nicht umgangen werden.
Doch viele Mitarbeitenden empfinden die jährliche Cybersicherheits-Schulung als „eine von vielen“ und sind nicht zwingend direkt in der Lage zu erfassen, wie wichtig die daraus abzuleitenden Handlungen für den Unternehmensfortbestand sind.
Gutes Change-Management ist die Lösung.
Für uns setzt sich gutes Change-Management aus folgenden vier Schritten zusammen:
- Training: Wenn ein Unternehmen möchte, dass Mitarbeitende sich auf eine bestimmte Art und Weise verhalten, muss es entsprechende Trainingsmaßnahmen einführen. Im Kontext Cybersicherheit sind Awareness-Trainings effektiv. Durch Absolvieren des Trainings entwickelt der Mitarbeitende die notwendigen Fähigkeiten und ist in der Folge in der Lage, sie im Unternehmen einzusetzen.
- Verständnis: Der Mitarbeitende muss verstehen, warum das vermittelte Wissen notwendig ist und es notwendig ist das Gelernte kontant anzuwenden. Ein gutes Training vermittelt auch das Warum – es fehlt aber zumeist der direkte Bezug zur tatsächlichen Erlebniswelt des Mitarbeitenden. Dies kann dazu führen, dass das adressierte Risiko als abstrakt und das konstante Einhalten der Verhaltensweisen als unnötig empfunden wird. Ein Lösungsansatz ist es, die Erlebniswelt des Trainings näher an die des Unternehmens heranzubringen und Beispiele in die eigene Unternehmenswelt einzubetten. Keinesfalls sollte das „Unternehmens-Warum“ nur durch einen voraufgezeichneten Film, der vor dem Training abgespielt wird und in dem z.B. die Geschäftsführung die Bedeutung des Themas darstellt, aufgezeigt werden. Eine empfehlenswerte Alternative ist es, das Gespräch mit den eigenen Führungskräften zu suchen, und hier als Geschäftsführung zu signalisieren, dass Cybersicherheit ein wichtiges Thema ist und dieses Bewusstsein in alle Ebenen des Unternehmens getragen werden muss.
- Vorbildfunktion: Im nächsten Schritt muss sichergegangen werden, dass das neue Wissen und die neuen antrainierten Verhaltensweisen tatsächlich auf allen Ebenen des Unternehmens gelebt werden. Hier ist besonders das Verhalten von Führungskräften wichtig: Wenn, wie vor kurzem Geschehen, ein hochrangiger Bundeswehroffizier für eine hochgeheime Telekonferenz WebEx verwendet und diese dann von einem anderen Geheimdienst abgehört wird, ist es problematisch sich an irgendeinem Bundeswehr-Standort darüber zu beschweren, dass ein anderer Mitarbeitender ähnliche Handlungen vollzieht. Wenn Mitarbeitende der Zeitung entnehmen können, dass Regeln wie Geheimschutz und Vertraulichkeit wahren von den eigenen Führungskräften ignoriert werden, warum sollte Sie sich dann an sie halten? Das Unternehmen muss sichergehen, dass wichtige Regeln auf allen Ebenen des Unternehmens Relevanz haben und befolgt werden, wenn es will, dass sich sämtliche Mitarbeitenden daran halten. Gerade Führungskräfte müssen diese Regeln eher 150%ig verfolgen als 95%ig. Nur so wird klar gezeigt, wie wichtig sie sind.
- Incentives: Auch Boni und Incentives sollten die Einhaltung wichtiger Unternehmensregeln belohnen und nicht unterminieren. Die Geschäftsführung muss sicherstellen, dass es keine Incentives gibt, die unsicheres Verhalten belohnen. Im ersten Schritt klingt das einfach, denn wieso sollte es solche Incentives geben? Nach unserer Erfahrung ist dies allerdings häufig des Fall, wenn es um Cybersicherheit geht. Wir meinen damit keine Boni, wenn nicht auf Phishing-Mails geklickt wird. Doch es gibt andere Incentives, die unsicheres Verhalten von Beschäftigten fördern. Zum Beispiel gibt es in der IT-Infrastruktur im Regelfall Boni, wenn eine hohe Verfügbarkeit der Systeme gewährleistet wurde und Systeme pro User möglichst kostengünstig bereitgestellt werden. Cybersicherheitsmaßnahmen führen im Gegenzug häufig dazu, dass für diese Boni verwendeten Kennzahlen schlechter werden. So kostet das von der Geschäftsführung gewünschte Sicherheitsmonitoring Geld und es ist häufig so, dass Cybersicherheit und alle anderen Systeme aus demselben Topf gezahlt werden und somit höhere Kosten in die KPI-Bemessungsgrundlage einfließen. In der Folge wird die Bereitstellung pro User teurer, was dazu führen, kann, dass die für den Bonus notwendige Kennzahl nicht mehr erreicht wird. So kommt es, dass betroffene Mitarbeitende notwendige Cybersicherheits-Maßnahmen nicht unterstützen, da ihnen bewusst ist, dass sich die Implementierung negativ auf Ihr Einkommen auswirken wird. Ein weiterer Punkt ist, dass das reguläre Arbeiten häufig durch die Einführung von (Cyber-) Sicherheitsmaßnahmen erschwert wird: Wenn IT-Administratoren z.B. erst Passwörter aus einem sicheren Vault und eine Erlaubnis und Freigabe für bestimmte administrative Vorgänge holen müssen, bevor die eigentliche Aufgabe durchzuführen ist, benötigen sie länger für dieselbe Aufgabe als zuvor. Das führt, da es ja viele Systeme und zu betreuende Prozesse gibt, dazu, dass mehr IT-Ressourcen für die bestehenden Prozesse benötigt werden. Das führt zu höheren Kosten, die sich negativ auf bestehende KPIs und damit auf die Boni auswirken. Wenn solche Boni nicht an die neue Cybersicherheits-Strategie angepasst werden, gibt es für Verantwortlichen keinerlei Ansporn die Cybersicherheit durch sinnvolle Maßnahmen weiter zu erhöhen.
Die Bedeutung von Incentives und Boni für die Cybersicherheit wird häufig unterschätzt.
Während die anderen drei Punkte den meisten Unternehmen bekannt sind und umgesetzt werden, steht seltener im Fokus, alle mit der Cybersicherheit zusammenhängenden Prozesse zu durchleuchten und sicherzugehen, dass keine Hürden die Umsetzung der Maßnahmen behindern. Niemand kann Menschen vorwerfen, dass sie so arbeiten, dass sie am Ende des Jahres einen möglichst hohen Bonus erhalten. Es ist Aufgabe der Geschäftsführung, Boni und Incentives so zu gestalten, dass sie wichtige Unternehmensziele unterstützen.
Die Förderung interdisziplinärer Dialoge ist zentral.
Bei der Entwicklung einer auf das Risikoprofil des Unternehmens zugeschnittenen Cybersicherheits-Strategie ist es genauso wichtig zu analysieren, welches Niveau an Sicherheitsmaßnahmen für die Klientel, die zu versorgen ist, zumutbar ist. Denn: Ab einem bestimmten Niveau an Komplexität orientieren sich die Mitarbeitende um, um ihre Aufgaben fristgerecht erledigen zu können. Ein Beispiel ist Hillary Clinton, die vertrauliche Regierungs-Emails auf ihrem privaten Computer bearbeitet hat. Dies ist aus der Sicherheitsperpektive mag dies nicht nachvollziehbar sein. Wenn aber die Nutzung der Staats-IT durch Sicherheitsmaßnahmen zu stark erschwert wurde, ist es aus der Perspektive, dass dringliche Arbeiten auch außerhalb des Büros schnell und fristgerecht erledigt werden mussten, nachvollziehbar. Deswegen ist es zentral eine Balance zwischen notwendigen Cybersicherheits-Maßnahmen und gewünschter Benutzbarkeit der Systeme durch die Nutzer zu finden, die für alle Stakeholder funktioniert. Ohne Dialog ist das kaum möglich. Es bleibt eine Tatsache, dass die Nutzung durch bessere Sicherheitsmaßnahmen immer komplexer wird.
Ziel ist es, die Sicherheit ausreichend zu steigern ohne die Benutzbarkeit zu extrem zu reduzieren.
Eine wichtige Basis für die oben genannten Punkte ist die Kultur. Eine Unternehmenskultur, die den Dialog fördert und eine gute Fehlerkultur hat, fördert auch die Cybersicherheit.
Cyberkriminelle ist immer daran interessiert, Ihre Methoden kostengünstig zu verbessern. Large Language Models (LLMs) sind inzwischen sehr gut darin, Texte in unterschiedlichsten Sprachen zu formulieren oder sehr glaubwürdige Voicemails von Führungskräften zu erstellen, die dringende Überweisungen oder externen Zugriff auf sensible Daten erbitten. Es wird für Mitarbeitende immer herausfordernder, sicherheitsrelevante Fehler zu vermeiden. Wenn Mitarbeitende ihr Unternehmen als eines wahrnehmen, dass Fehler bestraft, wird es deutlich seltener dazu kommen, dass sie zugeben, auf Phishinglinks geklickt oder User-Credentials weitergegeben zu haben. In der Cybersicherheit bleibt es immens wichtig, dass Angriffe und ihr Startpunkt schnellstmöglich bekannt werden. Zu gutem Change-Management gehört es somit auch, die eigene Unternehmenskultur auf den Umgang mit Fehlern und die bestehende Dialogfähigkeit zu prüfen und gegebenenfalls Änderungen miteinzubeziehen. Wenn Mitarbeitende Fehler zugeben können und uns sich parallel sicher fühlen, sich bei Führungskräften vor Freigabe von sensiblen Zugriffen oder einer höheren Geldüberweisung telefonisch rückzuversichern, können Cyberattacken effektiv verhindert oder schnell unterbunden werden.
Auch der Betriebsrat kann eine große Hilfe sein, um die Cybersicherheit im Unternehmen zu verbessern. Je transparenter der Dialog ist, desto wahrscheinlicher ist dessen Unterstützung, denn Cybersicherheit ist eine alltägliche Bedrohung des Unternehmens geworden. Es kann durch Cyberattacken zu Situationen kommen, in denen Leib und Leben der Mitarbeitenden bedroht werden (z.B. durch Angriffe auf Produktionsstraßen, die zu unkontrolliertem Herunterfahren der Maschinen oder ähnlichem führen). Der Betriebsrat ist dafür verantwortlich, die Mitarbeitenden zu schützen und nach unserer Erfahrung gern bereit Maßnahmen mitzutragen, die auf dieses Thema abzielen. Je besser es gelingt, Ansätze und Maßnahmen als zum Wohle der Mitarbeitenden notwendig, darzustellen – was bei der Cybersicherheit relativ einfach ist -, desto besser ist es möglich effektiv mit dem Betriebsrat zusammenarbeiten. Auch hier spielt die Unternehmenskultur eine tragende Rolle: Wenn der Dialog mit dem Betriebsrat generell schwierig ist, wird es auch problematisch sein Cybersicherheits-relevante Themen zu platzieren.
Cybersicherheit ist nicht statisch, sondern ein langwährender sich stetig entwickelnder Prozess.
Mit Trainings und Maßnahmen, kontextuellem Dialog zwischen Führungskräften und Mitarbeitenden aller Bereiche, Einbindung aller Führungskräfte und Cybersicherheit fördernden Incentives schaffen Unternehmen eine gute Basis für bestmögliche Cybersicherheit.