Für eine sichere Zukunft: Bericht über den Grad der Vorbereitung auf Cyberangriffe

Kapitel 9: Die Sicherheitskultur verbessern

Um Bedrohungen wirksam begegnen zu können, müssen Unternehmen natürlich auch die richtigen Cybersicherheitslösungen einführen. Viele Unternehmen müssen jedoch auch ihre Unternehmenskultur ändern. Die Entwicklung einer stärkeren Cybersicherheitskultur kann helfen, die wachsende Zahl von Bedrohungen zu bekämpfen und gleichzeitig die Herausforderungen knapper Budgets, Fachkräftemangel und widersprüchlicher Prioritäten zu überwinden.

Welche Arten von Kulturwandel sind erforderlich? Die Verantwortlichen für die Sicherheit müssen zunächst das Verständnis und das Bewusstsein verbessern. Ihre Mitarbeitenden müssen verstehen, wie Angriffe ablaufen. Sie müssen über Phishing-Methoden und gestohlene Zugangsdaten sowie über Web-Angriffe, DDoS-Angriffe (Distributed Denial-of-Service) und Zero-Day-Exploits, die Unternehmen lahmlegen können, aufgeklärt werden. Sie sollten darin geschult werden, Angriffe zu erkennen und diese am besten der Sicherheitsabteilung zu melden.

Gleichzeitig sollten sie sich darüber im Klaren sein, wie wichtig es ist, Cyberangriffe zu verhindern. Sie sollten wissen, dass erfolgreiche Angriffe weitreichende Folgen haben können – darunter Rufschädigung, Kundenverlust und erhebliche finanzielle Verluste.

Außerdem müssen die Mitarbeitenden verstehen, warum sie keine neuen Anwendungen auf ihren eigenen Geräten installieren oder Sicherheitsrichtlinien umgehen sollten. Einige technisch versierte Mitarbeitende meinen vielleicht, dass es einfacher und schneller ist, scheinbar geringfügige technische Probleme selbst zu lösen. Doch indem sie sich an der Schatten-IT beteiligen, könnten sie ihre Organisationen einer ernsthaften Gefahr aussetzen.

Sicherheitsteams sollten bei der Schulung der Mitarbeitenden deutlich machen, dass die Sicherheit des Unternehmens eine gemeinsame Verantwortung ist. Ihre Mitarbeitenden sind oft die erste Verteidigungslinie gegen Bedrohungen. Wenn Mitarbeitende befähigt werden, Vorfälle zu erkennen und zu melden, kann dies eine wichtige Rolle bei der Verhinderung von Verstößen spielen.

Indem Sie die Verantwortung für die Unternehmenssicherheit erfolgreich teilen, können Sie letztlich einige der finanziellen und personellen Herausforderungen, mit denen viele Organisationen konfrontiert sind, bewältigen. Wenn Mitarbeitende etwa Phishing-Versuche besser erkennen können, ist die Wahrscheinlichkeit geringer, dass sie auf diese betrügerischen Versuche hereinfallen und versehentlich Anmeldedaten preisgeben, die Kriminellen Tür und Tor öffnen. Und weniger erfolgreiche Phishing-Versuche werden die Anzahl der Datenverstöße verringern, gegen die sich die Sicherheitsteams richten müssen.

Die Sensibilisierung und Bewusstseinsbildung muss bis in die Führungsetage und den Vorstand reichen. Wenn Sicherheitsbeauftragte andere Führungskräfte und Vorstandsmitglieder über die Häufigkeit von Angriffen und die enormen Schäden, die diese verursachen können, aufklären können, können sie Unterstützung für sicherheitsorientierte Programme und Richtlinien gewinnen und die Genehmigung für größere Sicherheitsbudgets erhalten.

Wenn Führungskräfte sensibilisiert werden, können sie auch als Vorbilder dienen (sogenannte „Champions“) – einflussreiche Führungskräfte, die sich für eine Änderung der Einstellungen und Verhaltensweisen im gesamten Unternehmen einsetzen. Champions können Mitarbeitende dazu inspirieren, Sicherheitswerte zu internalisieren und wichtige Richtlinien einzuführen.

Wenn ein Unternehmen eine starke Sicherheitskultur hat, können CISOs proaktiver sein. Sie können Sicherheitsinitiativen vorantreiben und die Maßnahmen verbessern, ohne auf Sicherheitsvorfälle warten zu müssen.

Der Aufbau einer robusten Cybersicherheitskultur kann echte, spürbare Vorteile für die Cybersicherheit haben. In der jüngsten Forrester-Studie gaben etwa 60 % der Befragten an, dass Verbesserungen der Unternehmenskultur es ihren Teams ermöglicht haben, im vergangenen Jahr schneller auf Vorfälle zu reagieren. Viele Organisationen bemühen sich, ihre Mitarbeitenden auf die nächsten Angriffe vorzubereiten. Die Sensibilisierung und Aufklärung der Mitarbeitenden kann eine der besten Investitionen sein, die sie tätigen können.

Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträgerinnen und -träger aus der Tech-Branche heute von Bedeutung sind.

Wichtigste Eckpunkte

Folgende Informationen werden in diesem Artikel vermittelt:

• Ergebnisse einer Umfrage unter mehr als 4.000 Cybersicherheitsexperten

• Neue Erkenntnisse über Sicherheitsvorfälle, Grad der Vorbereitung und Ergebnisse

• Überlegungen dazu, wie CISO für ihr Unternehmen die Zukunft absichern und bessere Ergebnisse erzielen können

Verwandte Ressourcen

• Kapitel 8: Konkurrierende Prioritäten bei der Umsetzung vorbeugender Maßnahmen

• Kapitel 7: Beschränkte Budgets

• Kapitel 6: Fachkräftemangel

• Kapitel 5: Die Unwirksamkeit von Einzellösungen

• Kapitel 4: Maßnahmen für mehr Cybersicherheit

• Kapitel 3: Absicherung hybrider Arbeit

• Kapitel 2: Eine steigende Zahl von Cyberbedrohungen

• Kapitel 1: Einführung

• Die Zukunft sichern: Umfrage über den Grad der Vorbereitung auf Cyberangriffe