{"id":3658,"date":"2024-07-18T13:29:24","date_gmt":"2024-07-18T11:29:24","guid":{"rendered":"https:\/\/www.secida.com\/?p=3658"},"modified":"2024-08-20T17:32:36","modified_gmt":"2024-08-20T15:32:36","slug":"secida-im-juli","status":"publish","type":"post","link":"https:\/\/www.secida.com\/en\/secida-im-juli\/","title":{"rendered":"secida im Juli"},"content":{"rendered":"
\n\t\t\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Cybersicherheit ist Teamsport. Zielf\u00fchrendes Change-Management<\/span><\/h4>

Herzlich Willkommen zu unserem Newsletter!<\/p>

Hier geben wir hier einen \u00dcberblick \u00fcber geplante Aktivit\u00e4ten und beleuchten jeden Monat einen Aspekt sicherer Digitalisierung.<\/p>

Sie bevorzugen ein Video zum Thema?
Unseren 30-Minuten-Talk zum Thema finden Sie hier<\/a>.<\/p>

Aus der technologischen Perspektive ist das Thema Cybersicherheit gut zu optimieren. Es wird eine Ist-Analyse erstellt, auf dieser Basis werden potenzielle Risiken analysiert und klassifiziert und je nach Risikoprofil des Unternehmens im Anschluss entschieden, welche n\u00e4chsten Schritte in welchen Zeitr\u00e4umen unternommen werden, um sie aufzul\u00f6sen.<\/p>

Doch technologische Optimierung ist zur tats\u00e4chlichen Absicherung eines Unternehmens gegen Cyberangriffe allein nicht ausreichend: Das gr\u00f6\u00dfte Einfallstor f\u00fcr Cyberangriffe sind die Mitarbeitenden. Phishing-Kampagnen sind immer noch erfolgreich, Benutzer-Credentials werden h\u00e4ufig auch \u00fcber Anrufer, die sich z.B. als IT-Helpdesk ausgeben, erschlichen, etc. Es gilt, s\u00e4mtliche Mitarbeitenden f\u00fcr das Thema zu sensibilisieren und daf\u00fcr zu sorgen, dass Ma\u00dfnahmen, die die Sicherheit erh\u00f6hen, aber dem Arbeitskomfort des Mitarbeitenden abtr\u00e4glich sind (z.B. MFA), als notwendig akzeptiert und nicht umgangen werden.<\/p>

Doch viele Mitarbeitenden empfinden die j\u00e4hrliche Cybersicherheits-Schulung als \u201eeine von vielen\u201c und sind nicht zwingend direkt in der Lage zu erfassen, wie wichtig die daraus abzuleitenden Handlungen f\u00fcr den Unternehmensfortbestand sind.<\/p>

Gutes Change-Management ist die L\u00f6sung.<\/p><\/blockquote>

F\u00fcr uns setzt sich gutes Change-Management aus folgenden vier Schritten zusammen:<\/p>

  1. Training<\/strong>: Wenn ein Unternehmen m\u00f6chte, dass Mitarbeitende sich auf eine bestimmte Art und Weise verhalten, muss es entsprechende Trainingsma\u00dfnahmen einf\u00fchren. Im Kontext Cybersicherheit sind Awareness-Trainings effektiv. Durch Absolvieren des Trainings entwickelt der Mitarbeitende die notwendigen F\u00e4higkeiten und ist in der Folge in der Lage, sie im Unternehmen einzusetzen.<\/li>
  2. Verst\u00e4ndnis<\/strong>: Der Mitarbeitende muss verstehen, warum das vermittelte Wissen notwendig ist und es notwendig ist das Gelernte kontant anzuwenden. Ein gutes Training \u00a0vermittelt auch das Warum \u2013 es fehlt aber zumeist der direkte Bezug zur tats\u00e4chlichen Erlebniswelt des Mitarbeitenden. Dies kann dazu f\u00fchren, dass das adressierte Risiko als abstrakt und das konstante Einhalten der Verhaltensweisen als unn\u00f6tig empfunden wird. Ein L\u00f6sungsansatz ist es, die Erlebniswelt des Trainings n\u00e4her an die des Unternehmens heranzubringen und Beispiele in die eigene Unternehmenswelt einzubetten. Keinesfalls sollte das \u201eUnternehmens-Warum\u201c nur durch einen voraufgezeichneten Film, der vor dem Training abgespielt wird und in dem z.B. die Gesch\u00e4ftsf\u00fchrung die Bedeutung des Themas darstellt, aufgezeigt werden. Eine empfehlenswerte Alternative ist es, das Gespr\u00e4ch mit den eigenen F\u00fchrungskr\u00e4ften zu suchen, und hier als Gesch\u00e4ftsf\u00fchrung zu signalisieren, dass Cybersicherheit ein wichtiges Thema ist und dieses Bewusstsein in alle Ebenen des Unternehmens getragen werden muss.<\/li>
  3. Vorbildfunktion<\/strong>: Im n\u00e4chsten Schritt muss sichergegangen werden, dass das neue Wissen und die neuen antrainierten Verhaltensweisen tats\u00e4chlich auf allen Ebenen des Unternehmens gelebt werden. Hier ist besonders das Verhalten von F\u00fchrungskr\u00e4ften wichtig: Wenn, wie vor kurzem Geschehen, ein hochrangiger Bundeswehroffizier f\u00fcr eine hochgeheime Telekonferenz WebEx verwendet und diese dann von einem anderen Geheimdienst abgeh\u00f6rt wird, ist es problematisch sich an irgendeinem Bundeswehr-Standort dar\u00fcber zu beschweren, dass ein anderer Mitarbeitender \u00e4hnliche Handlungen vollzieht. Wenn Mitarbeitende der Zeitung entnehmen k\u00f6nnen, dass Regeln wie Geheimschutz und Vertraulichkeit wahren von den eigenen F\u00fchrungskr\u00e4ften ignoriert werden, warum sollte Sie sich dann an sie halten? Das Unternehmen muss sichergehen, dass wichtige Regeln auf allen Ebenen des Unternehmens Relevanz haben und befolgt werden, wenn es will, dass sich s\u00e4mtliche Mitarbeitenden daran halten. Gerade F\u00fchrungskr\u00e4fte m\u00fcssen diese Regeln eher 150%ig verfolgen als 95%ig. Nur so wird klar gezeigt, wie wichtig sie sind.<\/li>
  4. Incentives<\/strong>: Auch Boni und Incentives sollten die Einhaltung wichtiger Unternehmensregeln belohnen und nicht unterminieren. Die Gesch\u00e4ftsf\u00fchrung muss sicherstellen, dass es keine Incentives gibt, die unsicheres Verhalten belohnen. Im ersten Schritt klingt das einfach, denn wieso sollte es solche Incentives geben? Nach unserer Erfahrung ist dies allerdings h\u00e4ufig des Fall, wenn es um Cybersicherheit geht. Wir meinen damit keine Boni, wenn nicht auf Phishing-Mails geklickt wird. Doch es gibt andere Incentives, die unsicheres Verhalten von Besch\u00e4ftigten f\u00f6rdern.\u00a0 Zum Beispiel gibt es in der IT-Infrastruktur im Regelfall Boni, wenn eine hohe Verf\u00fcgbarkeit der Systeme gew\u00e4hrleistet wurde und Systeme pro User m\u00f6glichst kosteng\u00fcnstig bereitgestellt werden. Cybersicherheitsma\u00dfnahmen f\u00fchren im Gegenzug h\u00e4ufig dazu, dass f\u00fcr diese Boni verwendeten Kennzahlen schlechter werden. So kostet das von der Gesch\u00e4ftsf\u00fchrung gew\u00fcnschte Sicherheitsmonitoring Geld und es ist h\u00e4ufig so, dass Cybersicherheit und alle anderen Systeme aus demselben Topf gezahlt werden und somit h\u00f6here Kosten in die KPI-Bemessungsgrundlage einflie\u00dfen. In der Folge wird die Bereitstellung pro User teurer, was dazu f\u00fchren, kann, dass die f\u00fcr den Bonus notwendige Kennzahl nicht mehr erreicht wird. \u00a0So kommt es, dass betroffene Mitarbeitende notwendige Cybersicherheits-Ma\u00dfnahmen nicht unterst\u00fctzen, da ihnen bewusst ist, dass sich die Implementierung negativ auf Ihr Einkommen auswirken wird. Ein weiterer Punkt ist, dass das regul\u00e4re Arbeiten h\u00e4ufig durch die Einf\u00fchrung von (Cyber-) Sicherheitsma\u00dfnahmen erschwert wird: Wenn IT-Administratoren z.B. erst Passw\u00f6rter aus einem sicheren Vault und eine Erlaubnis und Freigabe f\u00fcr bestimmte administrative Vorg\u00e4nge holen m\u00fcssen, bevor die eigentliche Aufgabe durchzuf\u00fchren ist, ben\u00f6tigen sie l\u00e4nger f\u00fcr dieselbe Aufgabe als zuvor. Das f\u00fchrt, da es ja viele Systeme und zu betreuende Prozesse gibt, dazu, dass mehr IT-Ressourcen f\u00fcr die bestehenden Prozesse ben\u00f6tigt werden. Das f\u00fchrt zu h\u00f6heren Kosten, die sich negativ auf bestehende KPIs und damit auf die Boni auswirken. Wenn solche Boni nicht an die neue Cybersicherheits-Strategie angepasst werden, gibt es f\u00fcr Verantwortlichen keinerlei Ansporn die Cybersicherheit durch sinnvolle Ma\u00dfnahmen weiter zu erh\u00f6hen.<\/li><\/ol>

    Die Bedeutung von Incentives und Boni f\u00fcr die Cybersicherheit wird h\u00e4ufig untersch\u00e4tzt.<\/p><\/blockquote>

    W\u00e4hrend die anderen drei Punkte den meisten Unternehmen bekannt sind und umgesetzt werden, steht seltener im Fokus, alle mit der Cybersicherheit zusammenh\u00e4ngenden Prozesse zu durchleuchten und sicherzugehen, dass keine H\u00fcrden die Umsetzung der Ma\u00dfnahmen behindern. Niemand kann Menschen vorwerfen, dass sie so arbeiten, dass sie am Ende des Jahres einen m\u00f6glichst hohen Bonus erhalten. Es ist Aufgabe der Gesch\u00e4ftsf\u00fchrung, Boni und Incentives so zu gestalten, dass sie wichtige Unternehmensziele unterst\u00fctzen.<\/p>

    Die F\u00f6rderung interdisziplin\u00e4rer Dialoge ist zentral.<\/p><\/blockquote>

    Bei der Entwicklung einer auf das Risikoprofil des Unternehmens zugeschnittenen Cybersicherheits-Strategie ist es genauso wichtig zu analysieren, welches Niveau an Sicherheitsma\u00dfnahmen f\u00fcr die Klientel, die zu versorgen ist, zumutbar ist. Denn: Ab einem bestimmten Niveau an Komplexit\u00e4t orientieren sich die Mitarbeitende um, um ihre Aufgaben fristgerecht erledigen zu k\u00f6nnen. Ein Beispiel ist Hillary Clinton, die vertrauliche Regierungs-Emails auf ihrem privaten Computer bearbeitet hat. Dies ist aus der Sicherheitsperpektive mag dies nicht nachvollziehbar sein. Wenn aber die Nutzung der Staats-IT durch Sicherheitsma\u00dfnahmen zu stark erschwert wurde, ist es aus der Perspektive, dass dringliche Arbeiten auch au\u00dferhalb des B\u00fcros schnell und fristgerecht erledigt werden mussten, nachvollziehbar. Deswegen ist es zentral eine Balance zwischen notwendigen Cybersicherheits-Ma\u00dfnahmen und gew\u00fcnschter Benutzbarkeit der Systeme durch die Nutzer zu finden, die f\u00fcr alle Stakeholder funktioniert. Ohne Dialog ist das kaum m\u00f6glich. Es bleibt eine Tatsache, dass die Nutzung durch bessere Sicherheitsma\u00dfnahmen immer komplexer wird.<\/p>

    Ziel ist es, die Sicherheit ausreichend zu steigern ohne die Benutzbarkeit zu extrem zu reduzieren.<\/p><\/blockquote>

    Eine wichtige Basis f\u00fcr die oben genannten Punkte ist die Kultur. Eine Unternehmenskultur, die den Dialog f\u00f6rdert und eine gute Fehlerkultur hat, f\u00f6rdert auch die Cybersicherheit.<\/p>

    Cyberkriminelle ist immer daran interessiert, Ihre Methoden kosteng\u00fcnstig zu verbessern. Large Language Models (LLMs) sind inzwischen sehr gut darin, Texte in unterschiedlichsten Sprachen zu formulieren oder sehr glaubw\u00fcrdige Voicemails von F\u00fchrungskr\u00e4ften zu erstellen, die dringende \u00dcberweisungen oder externen Zugriff auf sensible Daten erbitten. Es wird f\u00fcr Mitarbeitende immer herausfordernder, sicherheitsrelevante Fehler zu vermeiden. Wenn Mitarbeitende ihr Unternehmen als eines wahrnehmen, dass Fehler bestraft, wird es deutlich seltener dazu kommen, dass sie zugeben, auf Phishinglinks geklickt oder User-Credentials weitergegeben zu haben. In der Cybersicherheit bleibt es immens wichtig, dass Angriffe und ihr Startpunkt schnellstm\u00f6glich bekannt werden. Zu gutem Change-Management geh\u00f6rt es somit auch, die eigene Unternehmenskultur auf den Umgang mit Fehlern und die bestehende Dialogf\u00e4higkeit zu pr\u00fcfen und gegebenenfalls \u00c4nderungen miteinzubeziehen. Wenn Mitarbeitende Fehler zugeben k\u00f6nnen und uns sich parallel sicher f\u00fchlen, sich bei F\u00fchrungskr\u00e4ften vor Freigabe von sensiblen Zugriffen oder einer h\u00f6heren Geld\u00fcberweisung telefonisch r\u00fcckzuversichern, k\u00f6nnen Cyberattacken effektiv verhindert oder schnell unterbunden werden.<\/p>

    Auch der Betriebsrat kann eine gro\u00dfe Hilfe sein, um die Cybersicherheit im Unternehmen zu verbessern. Je transparenter der Dialog ist, desto wahrscheinlicher ist dessen Unterst\u00fctzung, denn Cybersicherheit ist eine allt\u00e4gliche Bedrohung des Unternehmens geworden. Es kann durch Cyberattacken zu Situationen kommen, in denen Leib und Leben der Mitarbeitenden bedroht werden (z.B. durch Angriffe auf Produktionsstra\u00dfen, die zu unkontrolliertem Herunterfahren der Maschinen oder \u00e4hnlichem f\u00fchren). Der Betriebsrat ist daf\u00fcr verantwortlich, die Mitarbeitenden zu sch\u00fctzen und nach unserer Erfahrung gern bereit Ma\u00dfnahmen mitzutragen, die auf dieses Thema abzielen. Je besser es gelingt, Ans\u00e4tze und Ma\u00dfnahmen als zum Wohle der Mitarbeitenden notwendig, darzustellen \u2013 was bei der Cybersicherheit relativ einfach ist -, desto besser ist es m\u00f6glich effektiv mit dem Betriebsrat zusammenarbeiten. Auch hier spielt die Unternehmenskultur eine tragende Rolle: Wenn der Dialog mit dem Betriebsrat generell schwierig ist, wird es auch problematisch sein Cybersicherheits-relevante Themen zu platzieren.<\/p>

    Cybersicherheit ist nicht statisch, sondern ein langw\u00e4hrender sich stetig entwickelnder Prozess.<\/p><\/blockquote>

    Mit Trainings und Ma\u00dfnahmen, kontextuellem Dialog zwischen F\u00fchrungskr\u00e4ften und Mitarbeitenden aller Bereiche, Einbindung aller F\u00fchrungskr\u00e4fte und Cybersicherheit f\u00f6rdernden Incentives schaffen Unternehmen eine gute Basis f\u00fcr bestm\u00f6gliche Cybersicherheit.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

    \n\t\t\t\t
    \n\t\t\t\t\t\t\t\t\t
    \n\t\t\t\t\t\n\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t\tAuf LinkedIn abonnieren<\/span>\n\t\t\t\t\t<\/span>\n\t\t\t\t\t<\/a>\n\t\t\t\t<\/div>\n\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<\/div>","protected":false},"excerpt":{"rendered":"

    Wie immer mit interessanten Aktivit\u00e4ten im Juli, dem Link zum Livestream und vielem mehr.<\/p>","protected":false},"author":1,"featured_media":3701,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[12],"tags":[],"class_list":["post-3658","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-newsletter"],"_links":{"self":[{"href":"https:\/\/www.secida.com\/en\/wp-json\/wp\/v2\/posts\/3658","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.secida.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.secida.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.secida.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.secida.com\/en\/wp-json\/wp\/v2\/comments?post=3658"}],"version-history":[{"count":6,"href":"https:\/\/www.secida.com\/en\/wp-json\/wp\/v2\/posts\/3658\/revisions"}],"predecessor-version":[{"id":3713,"href":"https:\/\/www.secida.com\/en\/wp-json\/wp\/v2\/posts\/3658\/revisions\/3713"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.secida.com\/en\/wp-json\/wp\/v2\/media\/3701"}],"wp:attachment":[{"href":"https:\/\/www.secida.com\/en\/wp-json\/wp\/v2\/media?parent=3658"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.secida.com\/en\/wp-json\/wp\/v2\/categories?post=3658"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.secida.com\/en\/wp-json\/wp\/v2\/tags?post=3658"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}