Durchgängige Sicherheitskultur muss Top-Management einschliessen

Mitarbeiter stellen eine potenzielle Schwachstelle für die IT-Sicherheit dar. Eine sicherheitsorientierte Unternehmenskultur soll die Antwort darauf sein, vielfach bleibt sie aber auf halbem Weg stehen. Wie der Aufbau einer solchen Kultur gelingen kann, erläutert NTT Security (Switzerland) AG, das auf Sicherheit spezialisierte Unternehmen und „Security Center of Excellence“ der NTT Group.

Bei der Realisierung einer höchstmöglichen Sicherheit müssen Unternehmen IT-Lösungen und Prozesse, aber auch den Faktor Mensch berücksichtigen. Diesen Punkt adressieren sie verstärkt und ergreifen umfassende Initiativen, die nicht primär auf Compliance-Konformität abzielen, sondern auf die Sensibilisierung von Mitarbeitern. Ziel ist die Schaffung einer sicherheitsorientierten Unternehmenskultur. „Prinzipiell sind solche Sicherheitsinitiativen zu begrüssen, allerdings zeigt die Erfahrung, dass sie vielfach nur von der IT initiiert werden", erklärt Kai Grunwitz, Senior Vice President EMEA bei NTT Security. „Der richtige Ansatz wäre, sie zusätzlich im Management-Board zu verankern, das solche Initiativen sichtbar kommunizieren und vorantreiben sollte.“

Tatsächlich ist eine hohe IT-Sicherheit nur im Rahmen einer sicherheitsorientierten Kultur umsetzbar, die im gesamten Unternehmen verankert ist – auch und vor allem in der Führungsebene, denn gerade sie ist ein primäres Ziel von Hackerangriffen. Das Top-Management muss an vorderster Front von Sicherheitsinitiativen und dem Aufbau dieser Sicherheitskultur stehen. Welche Schritte dazu notwendig sind, erläutert NTT Security:

1. Zu Beginn erfolgt eine umfassende Bestandsaufnahme von Sicherheit und Sicherheitsbewusstsein im Unternehmen, unter Berücksichtigung von Prozessen, der eingesetzten Technologien und dem Faktor Mensch.
2. Darauf basierend entsteht eine Security-Awareness-Initiative, die sich nicht auf Compliance, sondern auf die Risiken für das Unternehmen und Vorteile für die Mitarbeiter fokussiert; Compliance entsteht dabei gewissermassen nebenbei.
3. Im Rahmen dieser Initiative werden keine allgemeingültigen, sondern konkrete, sicherheitsrelevante Fälle aus dem Unternehmen vorgestellt. Damit können sich Mitarbeiter viel besser identifizieren.
4. Die Botschaften der Initiative müssen möglichst einfach sein und ständig wiederholt werden.
5. Die Initiative muss bei den Führungskräften verankert sein und von diesen vorangebracht und auch vorgelebt werden. Dafür müssen sie ganz besonders sensibilisiert werden, denn in der Praxis zeigt sich leider immer wieder, dass das Management sich von allgemeingültigen Regeln ausnimmt.
6. Der Aufbau einer sicherheitsorientierten Unternehmenskultur ist kein kurzfristiges Projekt – der Veränderungsprozess muss kontinuierlich und nachhaltig sein. Daher sollten Security-Initiativen kontinuierlich erweitert werden; Teilschritte sind einem Big Bang vorzuziehen, weil ein solcher allzu oft nach kurzer Zeit versandet.
7. Bewusstsein allein schafft noch keine Datensicherheit. Parallel dazu müssen Unternehmen natürlich auch entsprechende Budgets zur Implementierung der technischen IT-Sicherheit bereitstellen.
8. Sicherheitsbewusstsein benötigt regelmässige Auffrischung. Positive Beispiele stärken zum Beispiel die Awareness der Mitarbeiter: so können etwa Angriffssimulationen anhand von konkreten Beispielen vorgestellt werden.

NTT Security unterstützt Unternehmen bei der Umsetzung einer Sicherheitskultur und gerade auch bei der Sensibilisierung der Führungsebene. Dafür hat der IT-Dienstleister ein spezielles Serviceangebot entwickelt, den sogenannten „Management Hack“. Unter Nutzung von Social-Engineering-Techniken wird dabei überprüft, inwieweit Führungskräfte ein Sicherheitsrisiko darstellen. Nach Abstimmung mit dem CISO oder IT-Leiter führt NTT Security simulierte, personalisierte Social-Engineering-Angriffe durch. Zum Einsatz kommen Techniken wie Phishing oder personalisiertes Spear-Phishing in Kombination mit Malware- oder Brute-Force-Angriffen auf Passwörter.

„Mit unserem neuen Serviceangebot kann die IT auch die Führungsebene schnell ins Boot holen und für das Thema Sicherheit sensibilisieren und gewinnen“, so Grunwitz, „und zwar nicht nur verbal, sondern mit realitätsnaher Dokumentation des Gefahrenpotenzials.“

Weitere Informationen zum „Management Hack“ von NTT Security finden Sie hier
NTT Security (Switzerland) AG auf Security-Finder Schweiz