UnImages – shutterstock.com
Die Rolle des CISO in Unternehmen hat sich stark gewandelt, vom Cybersicherheitsexperten mit Technikfokus hin zu einem Manager von Mensch und Maschine. Gerade diese Kompetenzen sind insbesondere essentiell, um größten Cybersicherheitsrisiken zu reduzieren. Immer wieder nutzen Cyberkriminelle Social Engineering und somit menschliches Handeln, um Unternehmen effektiv zu infiltrieren.
Die gängige Antwort darauf war bislang eine Steigerung des Sicherheitsbewusstsein, obgleich diese Herangehensweise über die Jahre zu keiner nennenswerten Risikoreduzierung geführt hat. Damit Mitarbeiter Wissen nicht nur erlangen, sondern auch sicheres Verhalten praktizieren, müssen CISOs effektive Schulungen und Übungen einplanen. Sie sollten in ihren Unternehmen eine Sicherheitskultur und gegenseitige Unterstützung fördern.
Technologie und Richtlinien sollten zwar gutes Sicherheitsverhalten unterstützen, aber noch wichtiger ist, eine menschenzentrierte Perspektive zu berücksichtigen. Cybersicherheitsrisiken werden nur dann reduziert, wenn die Schutzmaßnahmen das menschliche Verhalten in die richtige Richtung lenken. Dies gelingt, indem sie positive Handlungen wie die Meldung von Vorfällen oder Verhaltensweisen fördern, die vor äußeren Einflüssen schützen.
Lesetipp: Mit GenAI zum Insider-Threat
Cybersicherheit sollte sich an Werten ausrichten
Die Werte, die einem menschenorientierten Denken zugrunde liegen und es leiten, sind Autonomie, Gleichheit, Vertrauen und Fairness. Mitarbeitende erwarten offenes Feedback, Motivation, Wertschätzung und Vertrauen von Vorgesetzten. CISOs sollten sich darum bemühen, Menschen zu befähigen und mit gutem Beispiel voranzugehen. Dies überträgt sich direkt auf ihre Mitarbeiter.
Dabei brauchen Sicherheitsmanager das Rad nicht neu zu erfinden, sondern sie sollten die Cybersicherheitsstrategie an die Unternehmenswerte angliedern. Dadurch befähigt und stärkt die Cybersicherheit die Mitarbeiter im Sinne der Unternehmenskultur und in Abstimmung mit dem Personalwesen. Security ist damit nicht länger optional oder ein separates Thema für das Informationssicherheitsteam.
Anhand von praktischen Szenerien lernen
Mitarbeiter können durch Video-Deepfakes dazu verleitet werden, an gefälschten Online-Meetings teilzunehmen. CISOs sollten ein Deepfake-Szenario erstellen und es als Schulungsinstrument einsetzen, um Mitarbeitern beizubringen, wie sie solche Bedrohungen erkennen und sich davor schützen können – Lernmomente mit praktischer Anwendung lassen sich auf ähnliche Weise auch für anderen Angriffsvektoren und Medien erstellen.
Ganzheitliche Ansätze befassen sich mit mehr als “nur” E-Mail und Phishing. Mitarbeiter werden die Aktualität dieser Lektion zu schätzen wissen, denn sie werden sich bereits Sorgen über Deepfakes in sozialen Medien und in ihren privaten Netzwerken machen. Jede Gelegenheit, Cybersicherheitsrisiken in eine Lernerfahrung umzuwandeln, ist eine Chance, die Widerstandsfähigkeit der Belegschaft zu stärken. Angestellte, die sich neuer Bedrohungen bewusst sind und wissen, wie sie sich in schwierigen Situationen sicher verhalten, bleiben produktiv und entlasten CISOs.
Lesetipp: Security Awareness Trainings – Schulungen richtig managen
Ausgewogenheit zwischen Reibung und Fluss
Für eine gut abgestimmte Cybersicherheit ist es unerlässlich, Reibungspunkte und Ablenkungen gezielt einzusetzten, um beispielsweise Lernerlebnisse zu verstärken. Wenn CISOs mit ihren Programmen zum Management menschlicher Risiken beginnen, wird Security oft als Nebensache betrachtet und als Aufgabe der IT-Abteilung angesehen. Die Herausforderung ist, dieses Thema zu einer kollektiven Verantwortung zu machen, die für alle Mitarbeiter oberste Priorität hat. Cybersicherheit darf kein Selbstzweck sein – das Ziel des Risikomanagements ist nicht, Risiken zu minimieren, sondern die Maximierung der Wertschöpfung bei gleichzeitiger Steuerung eines akzeptablen Risikoniveaus.
CISOs müssen dafür sorgen, dass Cybersicherheitsschulungen, -tools und -verfahren den Nutzer so wenig wie möglich belasten und gleichzeitig den größtmöglichen Nutzen bieten. Marktanalysten wie Gartner bezeichnen dies als „minimal mögliche Reibung“, auch bekannt als „hervorragende Benutzererfahrung“. Oftmals haben Sensibilisierungsprogramme repetitive, vorhersehbare und langweilige Inhalte oder sie bieten keine praktikablen Tools und umsetzbaren Richtlinien. All diese Probleme verursachen eine unnötige Reibung.
Wie CISOs ein Human Risk Management aufsetzen
Ein ausgereiftes Human-Risk-Management-(HRM-)Programm umfasst folgende Grundlagen:
Bewertung des Verhaltensrisikos: Sicherheitsteams benötigen Daten, um zu verstehen, welche Mitarbeitenden auf Phishing-E-Mails klicken, riskante Passwörter verwenden, Richtlinien verletzen oder Sicherheitswarnungen auslösen. Diese Daten werden zu individuellen oder abteilungsbezogenen Risikobewertungen zusammengefasst, die im Laufe der Zeit überwacht und in Trends dargestellt werden können.
Risikosegmentierung und Priorisierung: Sobald Risiken identifiziert wurden, müssen Unternehmen Benutzer anhand ihrer Rolle, ihrer Zugriffsebene und ihres Verhaltens segmentieren. Nicht alle Mitarbeiter stellen das gleiche Risiko dar. Die Segmentierung hilft Security-Teams dabei, ihre Bemühungen dort zu konzentrieren, wo sie die größte Wirkung erzielen.
Gezielte Maßnahmen zur Risikoreduzierung: Ein effektives HRM erfordert mehr als pauschale Schulungen. Stattdessen werden personalisierte Maßnahmen eingesetzt, um das Verhalten zu ändern. Durch die Bereitstellung der richtigen Botschaft zur richtigen Zeit – im Kontext der tatsächlichen Arbeit – hilft HRM den Mitarbeitern, gute Sicherheitsgewohnheiten zu verinnerlichen.
Kontinuierliches Monitoring und Feedback: Ein modernes HRM-Programm nutzt kontinuierliche Überwachung und laufende Feedback-Schleifen, um sich anzupassen. Verhaltens-Risikobewertungen sollten regelmäßig neu berechnet werden, wobei Dashboards die Verbesserungen oder Rückschritte im Laufe der Zeit anzeigen. CISOs sollten außerdem KPIs festlegen, wie eine Reduzierung der Klickraten bei Phishing-Simulationen, weniger Richtlinienverstöße oder DLP-Warnmeldungen oder vermehrte Meldungen verdächtiger E-Mails. Alle diese Kennzahlen belegen den Wert in greifbaren, geschäftsorientierten Begrifflichkeiten.
Fazit
Wenn CISOs bessere Cybersicherheitsmaßnahmen ergreifen, treiben sie Veränderungen in mehreren Dimensionen voran, die sich auf die Sicherheitsergebnisse auswirken. Hier kommt der Sicherheitskultur als Nährboden für gutes Sicherheitsverhalten eine wichtige Rolle zu. Reibung sollte bewusst eingesetzt werden, um einprägsame Lernerfahrungen zu schaffen, die ein bestimmtes Element der Sicherheitskultur verändern.
CISOs sollten sie allerdings nicht wiederholt verursachen, ohne dass sich etwas an den verhaltensbeeinflussenden Elementen eines personenzentrierten Security-Awareness-Programms ändert. (jm)
No Responses