T-Systems-Claim-Logo
Suchen
Kollegen, die in einer Büroumgebung zusammenarbeiten

Kultur: Der verkannte Held umfassender Sicherheit

Wer Bedrohungen im Keim ersticken will, muss von oben nach unten eine Kultur aufbauen, die die Sicherheit stärkt.

12. August 2024Dheeraj Rawal

Die Budgets für Cybersicherheit steigen, um den wachsenden Bedrohungen zu begegnen

Jedes Jahr tauchen neue Sicherheitsbedrohungen auf, die zu den bereits vorhandenen hinzukommen und Sicherheitsexperten sowie CISOs in einen schier endlosen Kampf gegen die Cyberkriminalität zwingen. Die Cyberkriminalität wird immer ernster, da es immer neuere Tools, Tarntechniken, Angriffsgeschwindigkeiten usw. gibt. Bis 2025 werden Cyberangriffe die Welt jährlich rund 10,5 Billionen US-Dollar kosten (im Gegensatz zu 3 Billionen US-Dollar vor zehn Jahren).1

Höhere Investitionen zur Abwehr von Bedrohungen

Um sich gegen neue Bedrohungen zu wappnen, erhöhen Unternehmen ihre Budgets für IT- und Cybersicherheit. Im Jahr 2017 beliefen sich die Cyber-Investitionen weltweit auf 131 Milliarden US-Dollar. Bis Ende 2024 werden es mehr als 200 Milliarden US-Dollar sein.2 Die durchschnittlichen Sicherheitsausgaben von Unternehmen belaufen sich auf rund 3,75 Millionen US-Dollar – ein beträchtliches Budget zum Schutz der IT-Infrastruktur.3 

Trotz dieser umfangreichen Investitionen sind die Auswirkungen der Bedrohungen nach wie vor erheblich, was vor allem auf das Fehlen einer Sicherheitskultur und eines Bewusstseins für Cybersicherheit zurückzuführen ist. Viele Studien weisen darauf hin, dass menschliches Versagen die Hauptursache für Datenschutzverletzungen ist. Etwa 90 % der Datenschutzverletzungen sind auf menschliches Versagen zurückzuführen.4 Bestimmte Fehler können sich potenziell zu einer echten Datenschutzverletzung ausweiten. Beispiele für solche Fehler sind das Klicken auf einen Link, der per E-Mail von einem unbekannten Benutzer gesendet wurde, die Verwendung eines schwachen Passworts für zu viele Anwendungen oder die versehentliche Offenlegung von Daten. 

Fehler können unbeabsichtigt passieren, aber am Ende müssen die Unternehmen dafür bezahlen

So erging es auch Microsoft, als Mitarbeiter versehentlich 38 Terabyte an Daten auf dem öffentlichen Forum GitHub veröffentlichten. Private Daten wie Schlüssel, Passwörter, Nachrichten, persönliche Backups der Mitarbeiter usw. wurden der Öffentlichkeit zugänglich gemacht. Sehr zum Glück für Microsoft handelte es sich um interne Daten und nicht um Kundendaten – was das Unternehmen vor Klagen und Compliance-Strafen bewahrte. Nachdem Wiz Research über den Vorfall berichtet hatte, ergriff das Unternehmen Abhilfemaßnahmen, indem es die Berechtigungen korrigierte und die Daten sicherte.5 

Diverse andere Beispiele zeigen, dass Fehler von Mitarbeitern verheerende Folgen haben können (lesen Sie in diesem Blog die Geschichte von Equifax). Sicherheitstools können keinen vollständigen Schutz garantieren, ein Unternehmen braucht eine Sicherheitskultur. Daher ist dies ein Thema für die Vorstandsetage und eine der wichtigsten Prioritäten für CISOs geworden. 

Was ist eine Cybersicherheitskultur?

Die Sicherheitskultur besteht aus einer Reihe von Werten und gemeinsamen Überzeugungen, die im gesamten Unternehmen gelten. Ein Beispiel wäre ein Unternehmen, das ein striktes rollenbasiertes Zugangssystem pflegt, bei dem der Zugang nur denjenigen gewährt wird, die ihn benötigen, und niemandem sonst. Diese Praxis fördert eine gute Sicherheitshygiene und gewährleistet ein Minimum an Sicherheitsvorfällen, die durch einen unbefugten Zugriff verursacht werden könnten. Die Summe verschiedener Security-Praktiken stellt eine Sicherheitskultur dar.

Schlüsselkomponenten sind Sicherheitsrichtlinien und -kontrollen, Sicherheitspraktiken, Schulung und Sensibilisierung, Sicherheitstools, Compliance-Normen, Sicherheitsbewertungen und -aktualisierungen, Rollen und Zuständigkeiten, Pläne für die Reaktion auf Zwischenfälle sowie Führungsinitiativen. Abgesehen von diesen technischen Aspekten kommt es auf die Einstellung jedes Einzelnen zur Sicherheit an. Die Kultur sollte in der DNA des Unternehmens verankert sein. Alle diese Faktoren zusammen schaffen eine Kultur, die zu einer robusten Sicherheit führt.

Warum die Cybersicherheitskultur der entscheidende Faktor ist

Die Angriffsfläche hat sich in der heutigen Zeit durch Cloud- und digitale Technologien noch vergrößert. Es ist nicht möglich, ständig alle Angriffe abzuwehren. Unabhängig davon, wie ausgeklügelt die Schutzmaßnahmen sind, können eine einfache Phishing-E-Mail (E-Mail ist das größte Sicherheitsrisiko – Malware und Phishing sind die bevorzugten Waffen von Hackern) und ein unaufmerksamer Mitarbeiter ausreichen, um einen Datenverlust zu verursachen. Cyberkriminelle wissen, dass der Mensch das schwächste Glied in der Kette ist, und die meisten Angriffe zielen darauf ab, menschliche Schwächen auszunutzen. 

Phishing-Angriffe werden dank Gen-KI immer intelligenter und schneller. Phishing-Angriffe haben allein im Jahr 2023 um mehr als 1.200 % zugenommen, da Hacker Gen-KI-Tools nutzen.6 Außerdem ist jeder ungesicherte Endpunkt oder Netzwerkzugang ein potenzielles Einfallstor für Angreifer. Stellen Sie sich einen Mitarbeiter vor, der über eine ungesicherte oder kompromittierte WLAN-Verbindung in einem Café auf Unternehmensanwendungen zugreift. Solche Vorfälle sind an der Tagesordnung. 

Mitunter können Bedrohungen auch von Insidern ausgehen. In diesem Fall sind sie vorsätzlich – Mitarbeiter stehlen oder lassen Daten mit Absicht durchsickern. Im Jahr 2023 haben Mitarbeiter von Tesla sensible Daten an die Medien weitergegeben, darunter Bankdaten von Kunden, Compliance-Daten und mehr.7

Fehler können das Unternehmen teuer zu stehen kommen

Angriffe oder Datenschutzverletzungen können Folgendes verursachen:

  • Finanzielle Verluste: Die durchschnittlichen Kosten einer Datenschutzverletzung belaufen sich auf mehr als 4,4 Millionen US-Dollar.
  • Behördliche Geldbußen: Die Nichteinhaltung von Vorschriften wie der DSGVO kann Millionen kosten, während ein Fehlverhalten bei HIPAA zwischen 50 und 50.000 US-Dollar8 pro Patientendatensatz kosten kann.
  • Unterbrechung: Im Durchschnitt dauert es etwa 277 Tage, bis eine Datenschutzverletzung erkannt und behoben ist.
  • Ausfallzeit: Eine durch eine Sicherheitsverletzung verursachte Ausfallzeit kann bis zu 88.000 US-Dollar pro Stunde kosten.
  • Verlust von Reputation, Markenwert, Abwanderung von Kunden usw.9

Daher müssen die Mitarbeiter für verschiedene Szenarien sensibilisiert werden, in denen unüberlegtes Verhalten zu einem Sicherheitsvorfall führen kann. Aus diesem Grund investieren die meisten Unternehmen in Schulungen um das Sicherheitsbewusstsein zu stärken. Diese konzentrieren sich auf die Vereinfachung von Sicherheitsbegriffen und zeigen auf, wie sich die Nichteinhaltung von Vorschriften auf ein Unternehmen auswirken kann. Aber das ist ein Top-down-Ansatz.

Kultur beginnt an der Spitze

Drei Personen bei einem Geschäftstreffen

Sicherheit ist nicht die Sache eines Einzelnen oder eines Teams – sie liegt in der Verantwortung aller. Eine Kultur beginnt jedoch immer an der Spitze. Damit eine Kultur gedeihen kann, müssen Führungskräfte und leitende Angestellte die Teams beeinflussen. Führungskräfte müssen effektiv kommunizieren. Sie müssen, wenn nötig, Einfühlungsvermögen zeigen. Beispielsweise sollten Mitarbeiter, die versehentlich einen Sicherheitsvorfall verursachen, nicht bestraft oder bloßgestellt werden. Sie sollten vielmehr ermutigt werden, die entsprechenden Normen zu befolgen. Dieses Verhalten ermutigt die Mitarbeiter, Fehler zu melden. Positive Verstärkung für ideales Verhalten ist wirksamer als die Bestrafung für schlechtes Verhalten. Wenn die Unternehmensleitung von der Etablierung einer Sicherheitskultur überzeugt ist, wird sie auch in die Schulung des Sicherheitsbewusstseins der Mitarbeiter investieren. 

Einführung in die Sicherheitskultur mit Schulungen zum Sicherheitsbewusstsein

Sicherheitsschulungen sollten rollenspezifisch sein, damit die Mitarbeiter wissen, mit welchen Bedrohungen sie in ihrer Rolle konfrontiert werden können und welche Auswirkungen ihre Handlungen auf das Unternehmen haben. Die Schulungen sollten sich darauf konzentrieren, das Bewusstsein zu schärfen, anstatt Angst zu schüren. Es wurde festgestellt, dass 39 % der IT-Fachleute Phishing-Angriffe am meisten fürchten, und 49 % glauben, dass ihr Unternehmen bald mit einem Phishing-Angriff konfrontiert sein wird, während 20 % der Mitarbeiter wahrscheinlich auch auf Phishing-Links in E-Mails klicken.10 Mitarbeiter, die glauben, dass ihr Unternehmen sie hart bestrafen wird, sind nicht bereit, ihre Fehler zu akzeptieren und zu melden. Dies kann ein ernsthaftes Problem mit weitreichenden Folgen darstellen.

Allerdings stehen nicht alle Fehler in direktem Zusammenhang mit Sicherheitsverletzungen, sondern können so harmlos sein wie das Versenden einer internen E-Mail an eine externe Person oder das Versenden eines falschen Anhangs. Diese Fehler können, wenn sie nicht gemeldet werden, zu einer Eskalation und zu einem Verlust von Kunden führen. 

Gestaltung von Schulungen für das Sicherheitsbewusstsein

Personen, die an einer Unternehmensschulung teilnehmen

Sensibilisierungsschulungen können als Quiz, Umfrage, im Klassenzimmer oder sogar als Angriffssimulation durchgeführt werden. Einige Unternehmen setzen Angriffssimulationen ein, um den Teams eine bessere Lernerfahrung zu ermöglichen. Bewährte Verfahren müssen regelmäßig angepasst und vertieft werden, damit sie nicht in Vergessenheit geraten. Themen für solche Schulungen könnten sein: Identitätsdiebstahl, Passwortrichtlinien, Multi-Faktor-Authentifizierung, Social Engineering, öffentliches WLAN, sicheres Surfen, Datensicherung, Software-Updates, Gerätesicherheit, Wiederherstellung nach Sicherheitsverletzungen, Compliance-Normen usw.

Sicherheitsbewusstsein bedeutet auch, klare Sicherheitsrichtlinien aufzustellen und diese bekannt zu machen. Beispielsweise kann es eine klare Dokumentation über die Sensibilisierung für Phishing geben und darüber, wie darauf zu reagieren ist. In diesem Dokument könnte festgelegt sein, wie man Phishing-Versuche erkennt und darauf reagiert, welche verwandten Begriffe es gibt, welche Melde- und Reaktionsverfahren bestehen, welche Simulationen durchgeführt werden, wie regelmäßige Updates erfolgen usw. Ebenso müssen Unternehmen einen klaren Plan für die Reaktion auf einen Vorfall aufstellen, in dem die für die Bearbeitung des Vorfalls verantwortlichen Personen festgelegt sind. Flexible Teams können dazu beitragen, die Reaktionszeit während einer Krise zu verbessern und eine schnellere Wiederherstellung zu ermöglichen.

Außerdem ist es ratsam, die Teams durch die Bereitstellung von Sicherheitszertifizierungen und Wissensdatenbanken zu befähigen. Zertifizierungen im Zusammenhang mit NIST Cybersecurity, ISO 27001, SOC2, PCI DSS, HIPAA, DSGVO, NIS2 und andere können vom Unternehmen für ihre Mitarbeiter angeboten werden.

Framework für die Sicherheitskultur von Unternehmen

Vier Tipps zum Framework

Es ist wichtig, langsam und klein anzufangen; Kultur kann nicht von heute auf morgen übernommen oder verändert werden. Was Unternehmen tun können:

  1. Konzentrieren Sie sich auf ein bis zwei Dinge gleichzeitig. Stellen Sie sicher, dass sich dieses Verhalten in der gesamten Organisation widerspiegelt, bevor Sie mit der Umsetzung einer neuen Norm fortfahren. Zum Beispiel könnte man damit beginnen, die Verwendung sicherer Passwörter für verschiedene Anwendungen zu fördern. Wenn dieses Verhalten etabliert ist, kann die Organisation zum nächsten übergehen.
  2. Identifizieren Sie Influencer in der Organisation. Mit gutem Beispiel voranzugehen kann andere motivieren, es ihnen gleichzutun. Holen Sie sich von Anfang an die Zustimmung der Führungskräfte und ermutigen Sie sie, Best Practices zu folgen. Wenn Führungskräfte eine Sicherheitskultur vorleben, stärkt dies das Ziel.
  3. Kommunizieren Sie klar und regelmäßig, um die Botschaft innerhalb der Teams zu verbreiten. Vermeiden Sie Fachjargon und verwenden Sie Beispiele, um die Botschaft leichter verständlich zu machen. Fügen Sie nach Möglichkeit die „Dos and Don’ts“ hinzu.
  4. Erfassen und Bewerten Sie das aktuelle Sicherheitsniveau und erstellen Sie eine Roadmap für den Soll-Zustand. Messen Sie die Werte, während der Plan umgesetzt wird. Überprüfen Sie die Änderungen, und nehmen Sie entsprechende Änderungen vor. Teilen Sie die Ergebnisse mit dem Führungsteam und den Stakeholdern, um deren Unterstützung und Engagement für die weitere Absicherung zu gewinnen. Definieren Sie konkrete KPIs, die mit den Geschäftszielen verknüpft sind.
     

Wichtige Fragen, die beantwortet werden sollten

  • Ist die Zahl der Vorfälle gesunken?
  • Wie viel Gesamtausfallzeit wurde vermieden und wie hoch ist die Kosteneinsparung?
  • Melden Mitarbeiter mehr Vorfälle?
  • Hat sich die Durchschnittszeit für die Erkennung und Reaktion verkürzt?
  • Hat sich das Compliance-Level verbessert? Ist die Teilnahmequote an Schulungen gestiegen?
  • Wenn regelmäßig Quizfragen oder Tests durchgeführt werden, haben sich die Antworten verbessert?

Die Antworten auf solche Fragen helfen bei der Erfolgsbewertung von Sicherheitsschulungsprogrammen, da das Unternehmensmanagement die Wirksamkeit der Sicherheitskultur mit den KPIs verknüpfen wird.

Die Sicherheitskultur lässt sich nicht in Stein meißeln. Sie sollte unter Berücksichtigung neuer Best Practices, Änderungen bei den Sicherheitstools, neuer Bedrohungsumgebungen, Mitarbeiterfeedback usw. überprüft und angepasst werden. Sie muss flexibel sein, um Änderungen aufnehmen zu können. Unternehmen, die über eine klare Sicherheitsstrategie inklusive Kultur-Roadmap verfügen, verzeichnen eine Verbesserung der Resilienz um bis zu 46 %.11

Sicherheitskultur und Compliance gehen Hand in Hand

Unternehmen, die über eine tief verwurzelte Sicherheitskultur verfügen, verzeichnen Verbesserungen bei der Compliance. Dieser Wandel findet bereits statt. Etwa 70 % der Compliance- und Risikoexperten gaben an, dass das Thema heute ernster genommen wird als vor einigen Jahren.12

Unternehmen sind sich bewusst, dass ohne Sicherheitsmentalität keine vollständige Compliance erreicht werden kann. Ein typisches Unternehmen muss etwa fünf bis sechs Compliance-Standards befolgen – dies wird zu viel, wenn es an Ressourcen mangelt. Diese Vorschriften können nur durch die richtigen Sicherheitspraktiken erfüllt werden. Die durchschnittlichen Kosten für die Nichteinhaltung von Vorschriften sind fast 3-mal höher als die Kosten für die Einhaltung der Vorschriften, was bedeutet, dass das Unternehmen durch die Einhaltung der Vorschriften mehr Geld spart.

Schulungen sind ein wirksames Mittel, um den Sicherheits-ROI zu erhöhen

Unternehmen, die in Schulungen zum Sicherheitsbewusstsein investieren, reduzieren das Risiko innerhalb eines Jahres von 60 % auf 10 % und können eine mindestens 7-fache Rendite auf ihre Investitionen erzielen.13

Return on Security Investment = (Jährliche Kosten vermiedener Sicherheitsvorfälle und -verletzungen – jährliche Sicherheitsinvestition) / jährliche Sicherheitsinvestition

Studien zeigen auch, dass Mitarbeiter Bedrohungen nach einer Schulung zum Sicherheitsbewusstsein besser erkennen können – in einigen Fällen hat sich das Bewusstsein verdreifacht. Phishing-Simulationsschulungen reduzieren die Fehler der Mitarbeiter um 60 %.14 Neben monetären Aspekten bietet Compliance auch einen Wettbewerbsvorteil und stärkt das Vertrauen der Kunden.

Mit den richtigen Tools und Technologien die Kultur stärken

Wie bereits betont, hört Kultur nicht bei ein oder zwei Dingen auf. Die Investition in die richtigen Sicherheitstools und -ressourcen, die Sicherstellung zeitnaher Updates, das Patch-Management, die Überprüfung von Schwachstellen und Konfigurationen, die Erstellung von Incident-Response-Plänen und die Durchsetzung der richtigen Datensicherheitsrichtlinien, Zugriffskontrollen und -verwaltung sind Teil der Kultur.

Der Einsatz der richtigen Sicherheitstools stärkt die Kultur zusätzlich. Zum Beispiel können viele menschliche Fehler durch Automatisierung reduziert werden. Unternehmen können menschliche Fehler nicht nur vermeiden, sondern auch die Reaktion auf Vorfälle, das Compliance-Niveau und die Bedrohungserkennung verbessern. Sicherheitsteams, die Warnungen manuell bearbeiten, sind oft überfordert. Im Durchschnitt erhalten sie mehr als 4.400 Warnungen pro Tag, und über 80 % können Fehlalarme sein. Dies führt in der Regel zu einem Burnout, aufgrund dessen sie einen kritischen Alarm verpassen könnten. Es gibt verschiedene Fälle, in denen solche Fehler zu umfassenden Datenschutzverletzungen geführt haben.

Automatisierung und KI tragen dazu bei, die Sicherheitskultur weiter zu verankern

Burnout ist nicht nur bei Sicherheitsteams üblich, sondern auch bei Führungskräften. Gartner schätzt, dass jeder vierte CISO aufgrund des extremen Arbeitsdrucks den Job wechseln wird, was auf eine schlechte Unternehmenskultur und einen Fachkräftemangel zurückzuführen ist.15 Beide Probleme können bis zu einem gewissen Grad mit den richtigen Tools angegangen werden.

In Verbindung mit künstlicher Intelligenz (KI) kann Automatisierung Sicherheitsteams dabei helfen, große Datenmengen zu analysieren, Warnungen zu geben und auf reale Bedrohungen zu reagieren. Dies reduziert Fehlalarme und die Zeit, die für die Erkennung und Reaktion auf Bedrohungen benötigt wird. Kosteneinsparungen sind ein weiterer Aspekt, da Unternehmen, die Automatisierung und KI einsetzten, im Vergleich zu Unternehmen, die nicht über solche Funktionen verfügten, etwa 1,7 Millionen US-Dollar einsparen.

Es hört nicht bei KI auf, auch andere intelligentere Sicherheitslösungen wie Endpunktschutz, Zero Trust und Mikrosegmentierung können in Betracht gezogen werden.

Starten Sie noch heute mit der Strategie für Ihre Cybersicherheitskultur. Der Mensch muss schließlich nicht das schwächste Glied sein. Wenn Sie Ihre Cybersicherheitskultur und -resilienz stärken möchten, können wir Sie gerne unterstützen. Sprechen Sie noch heute mit uns.

Zur Person
Dheeraj Rawal

Dheeraj Rawal

Content Marketer, T-Systems International GmbH

Profil und alle Artikel ansehen

Relevante Lösungen

Benötigen Sie Ratschläge zum Aufbau einer Sicherheitskultur?

Wir helfen Ihnen bei den ersten Schritten und empfehlen Ihnen die richtigen Werkzeuge für Ihre Belegschaft. Sprechen Sie uns noch heute an.

1 Artikel Global Cybersecurity Spending, 2021, Cybercrime Magazine
2 Information Security Spending, 2023, Statista
3 Artikel IT Security Budget, 2023, Kaspersky
4 Artikel Human Errors in Cybersecurity Breaches, 2022, Usecure
5 Artikel Microsoft AI Breach , 2023, TechCrunch
6 Artikel Gen AI in Phishing Attacks , 2023, CNBC
7 Artikel Real-life Insider Threats, 2023, Code42
8 Artikel Cost of Data Breach, 2024, UpGuard
9 Artikel Data Breach Cost, 2023, Terranova Security
10 Artikel Phishing Survey, 2023, Security Today
11 Artikel Security Resilience, 2022, Cisco
12 Risk Compliance Report, 2023, Thomson Reuters
13 Artikel Security Awareness Training Effectiveness, 2022, Usecure
14 Artikel Phishing Training, 2024, CyberPilot
15 Cybersecurity Leader Prediction Press Release, 2023, Gartner

Besuchen Sie t-systems.com außerhalb von Germany? Besuchen Sie die lokale Website für weiterführende Informationen und Angebote für Ihr Land.