Zurück zu den Artikeln

Der menschliche Faktor, ein Schlüssel zur Cybersicherheitsstrategie

15 Juli 2020

Interview mit Olivier Antoine, Head of Information Security Management, Cyberforce.

Warum ist der Faktor Mensch für die Cyber-Sicherheitsstrategie eines Unternehmens von so großer Bedeutung?

Unternehmen müssen ihre Daten schützen, seien sie nun physischer oder digitaler Art. Zudem drohen Angriffe nicht nur von außen, auch intern gibt es reale Gefahren, aber dieser Punkt wird häufig vernachlässigt.

Menschliches Versagen gilt als Ursache für 75 % der IT-Sicherheitslücken und Cyberangriffe (Quelle: FEDIL). Es wurden vier Faktoren identifiziert, die Sicherheitsverstöße verursachen können: Unwissenheit, Routine, Naivität und Nachlässigkeit. Daher ist es wichtig, die Mitarbeitenden zu sensibilisieren und Bewusstsein für ihre Rolle zu schaffen, und dies gilt gleichermaßen für Kleinstunternehmen, KMU und Konzerne.

Hacker kennen die Schwachstellen und nutzen diese schamlos aus. Insbesondere im März, während des Lockdowns, haben wir festgestellt, dass die Angriffe zunahmen. Im Homeoffice fühlte man sich sicherer, und die Wachsamkeit ließ nach.

Wie kann man im Unternehmen effektiv eine Kultur der Informationssicherheit schaffen?

Der erste Schritt nach der Ausarbeitung von Richtlinien zur Informationssicherheit ist es, diese bekannt zu machen. Richtlinien mit einem Umfang von 50 Seiten funktionieren nicht, das ist ein Fakt. Wahrscheinlicher ist, dass sie als zusätzliche Beschränkung wahrgenommen und daher nicht gelesen werden.

Um diesem Problem zu begegnen, können Unternehmen ihre Belegschaft zunächst über ansprechende Inhalte sensibilisieren (Infografiken, Videos...). Dann können „unterhaltsamere“ Maßnahmen folgen, um diese Kultur in den Arbeitsalltag einfließen zu lassen, sie zu etablieren und sie zu festigen. Ziel ist es, ein Bewusstsein dafür zu schaffen, dass das Thema Sicherheit auch die Mitarbeitenden betrifft und dass sie im Unternehmen von allen mitgetragen werden muss.

Kannst du uns ein paar Beispiele für Maßnahmen nennen, die bei DEEP ausprobiert wurden?

Bei DEEP wurden einige Maßnahmen insbesondere zur Erhebung von Leistungskennzahlen getroffen, um damit die Wirkung der verschiedenen Sensibilisierungskampagnen zur Cybersicherheit konkret messen zu können.

Mit der ersten Aktion, einem „Happening“, sollte festgestellt werden, ob die Clean Desk Policy in den verschiedenen Bereichen des Unternehmens respektiert wurde. Nachdem ein Sensibilisierungsvideo über einen vermeintlichen Datendiebstahl durch Marsmenschen im Intranet veröffentlicht worden war, ging das ISM-Team – in der Nacht – durch die Büros und legte auf jeden Schreibtisch, der im Sinne der Clean Desk Policy leer hinterlassen worden war, eine Karte mit einem grünen Außerirdischen. Tische, die nicht ordnungsgemäß leergeräumt worden waren, erhielten einen roten. Die Aktion hat Eindruck hinterlassen, es wird heute noch darüber geredet!
Die andere Aktion, die wir regelmäßig durchführen, beinhaltet interne Phishing-Tests, denn die meisten Vorfälle sind heute auf Datendiebstahl durch Phishing zurückzuführen. Erst vor kurzem haben wir die E-Mail-Adresse unserer Marketingabteilung benutzt und nur die Domain subtil verändert, um einen internen Preiswettbewerb anzukündigen. Die Belegschaft wurde aufgefordert, sich über einen Link für den Wettbewerb anzumelden und persönliche Daten zu hinterlegen. In solchen Situationen kann die Wachsamkeit leicht sinken, und diejenigen, die auf den Test reagierten, wurden noch einmal an die einzuhaltenden Vorschriften erinnert.

Was war das Lustigste, das du bisher bei der Sensibilisierung für Cybersicherheit erlebt hast?

Meine lustigste Erinnerung ist die an eine Sensibilisierungsaktion in einem Unternehmen aus dem Bankensektor mit Sitz in Belgien. Um die Nutzer für die physische Sicherheit zu sensibilisieren, hatte der Kunde mich gebeten, mit einem fahr- und verschließbaren Abfallbehälter das Gebäude zu verlassen, ohne dabei die für das Öffnen der Türen erforderliche Zugangskarte zu verwenden. So merkwürdig das auch klingt, niemand wollte wissen, warum jemand im Anzug mit einem Abfallbehälter im Gebäude spazieren ging. Und was noch schlimmer ist, da ich keine Zugangskarte hatte, öffneten mir die Mitarbeitenden freundlich die verschiedenen gesicherten Türen, um mir die Sache leichter zu machen. Cyber-Angreifer verstecken sich nicht immer hinter Bildschirmen, seien Sie also vorsichtig und sensibilisieren Sie Ihre Leute!

Welchen Rat würdest Du jemandem geben, der sein Umfeld der Cybersicherheit ausbauen will?

Wir müssen realistisch bleiben und dürfen uns keine Ziele setzen, die zu ehrgeizig sind und nicht erreicht werden können.

Die Informationssicherheit und deren Management, wie in der Norm ISO/CEI : 27001 beschrieben, müssen kontinuierlich verbessert werden.

Welchen Zweck hat diese Norm? Die Norm dient als Rahmen für die Umsetzung eines Informationssicherheits-Managementsystems (ISMS). Auf ihrer Grundlage sollen solche Systeme in Unternehmen eingerichtet und deren kontinuierliche Verbesserung in einem festgelegten Rahmen gemäß dem Zyklus „Plan – Do – Check – Act“ gewährleistet werden.

Die zu treffenden Maßnahmen und das Niveau an Sicherheit bestimmen sich durch die gegebenen Risiken. Ein Sicherheitsmanagement auf der Basis von Risiken erfordert ein hohes Engagement seitens der Unternehmensleitung: Ihre Aufgabe beschränkt sich nicht allein darauf, die Risiken zu bestätigen, sie muss auch die finanziellen, personellen und technischen Ressourcen bereitstellen, die für die Umsetzung der Aktionspläne erforderlich sind.

Während die ISO 27001 bereits in zahlreichen Unternehmen weltweit umgesetzt wird, sind Europas Unternehmen noch zögerlich, und sie sind noch weniger bereit, sich einer Zertifizierung zu unterziehen. Diese wird immer noch viel zu oft als langer und kostspieliger Prozess wahrgenommen. Dennoch ist dieser Ansatz der beste Weg, um das gesamte Unternehmen stärker für Sicherheitsfragen zu sensibilisieren.

DEEP begleitet Sie gern bei der Gestaltung und Umsetzung eines Aktionsplans zur Schaffung einer Kultur der Sicherheit in Ihrem Unternehmen.

Unsere Experten beantworten Ihre Fragen

Sie haben Fragen zu einem der Artikel? Sie brauchen Beratung, um die richtige Lösung für Ihre ICT-Probleme zu finden?

Weitere Artikel aus der Kategorie Sicherheit

DDoS-Angriffe in Luxemburg im Jahr 2024

Erfahren Sie mehr über die Statistiken zu DDoS-Angriffen, die POST Cyberforce im Jahr 2024 in Luxemburg entdeckt hat.

Artikel lesen

Veröffentlicht am

31 März 2024

DDoS-Angriffe in Luxemburg im Jahr 2023

Erfahren Sie mehr über die Statistiken zu DDoS-Angriffen, die POST Cyberforce im Jahr 2023 in Luxemburg entdeckt hat.

Artikel lesen

Veröffentlicht am

15 Februar 2023

DDoS-Angriffe in Luxemburg im Jahr 2022

Erfahren Sie mehr über die Statistiken zu DDoS-Angriffen, die POST Cyberforce im Jahr 2022 in Luxemburg entdeckt hat.

Artikel lesen

Veröffentlicht am

11 Oktober 2022