{"id":1320,"date":"2024-12-19T11:52:00","date_gmt":"2024-12-19T11:52:00","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=1320"},"modified":"2024-12-19T11:52:00","modified_gmt":"2024-12-19T11:52:00","slug":"so-entgiften-sie-ihre-sicherheitskultur","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=1320","title":{"rendered":"So entgiften Sie Ihre Sicherheitskultur"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
Lassen Sie toxische Kulturen nicht gedeihen.\n

ON-Photography Germany | shutterstock.com<\/p>\n<\/div>\n

Eine positive Cybersecurity-Kultur<\/a> tr\u00e4gt zur allgemeinen Awareness bei, ist Best Practices f\u00f6rderlich und kann die interne Zusammenarbeit st\u00e4rken. Auf der anderen Seite sorgt eine vergiftete Sicherheitskultur daf\u00fcr, dass:<\/p>\n

Team-Moral und -Produktivit\u00e4t sinken,<\/p>\n

die Mitarbeiterfluktuation steigt, und<\/p>\n

Systeme sowie Daten erh\u00f6hten Risiken ausgesetzt sind.<\/p>\n

\u201eToxische Cybersicherheitskulturen zeichnen sich dadurch aus, dass jeder glaubt, Security w\u00e4re die Aufgabe des anderen. Dazu beizutragen, das eigene Unternehmen abzusichern<\/a>, wird nicht als wertvoll angesehen\u201c, definiert Keri Pearlson, Executive Director for Cybersecurity beim Research-Konsortium MIT Sloan, solche Zust\u00e4nde.<\/p>\n

Wir haben die Managerin und weitere Experten f\u00fcr diesen Beitrag dazu befragt:<\/p>\n

was darauf hindeutet, dass Ihre Security-Kultur entgiftet werden sollte<\/a>, und<\/p>\n

welche Ma\u00dfnahmen Sie ergreifen k\u00f6nnen, um Ihre Organisation wieder auf den richtigen Weg<\/a> zu bringen.<\/p>\n

Warnsignale<\/h2>\n

Wenn die IT-Sicherheit von der Belegschaft als notwendiges \u00dcbel statt als strategische Priorit\u00e4t<\/a> betrachtet wird, ist das selten ein gutes Zeichen. F\u00fcr Rob T. Lee, Head of Research beim SANS Institute, ist es ein klares Signal daf\u00fcr, dass ein Kurswechsel in Sachen Cybersicherheitskultur dringend n\u00f6tig ist: \u201eIn solchen Umgebungen kommt es regelm\u00e4\u00dfig dazu, dass Technologien vorschnell eingekauft und ausgerollt<\/a> werden \u2013 ohne angemessene Zugangskontrollen zu implementieren.\u201c<\/p>\n

Damit F\u00fchrungskr\u00e4fte beurteilen k\u00f6nnen, ob Sicherheit in einer Organisation tats\u00e4chlich priorisiert wird, empfiehlt Chris Reffkin, Chief Security and Risk Officer beim Sicherheitsanbieter Fortra, genauer hinzuschauen: \u201eEin eindeutiges Warnsignal ist es, wenn Dinge wie eine schlechte Performance bei Phishing-Simulationen<\/a> oder versehentliche Fehlkonfigurationen direkt abgestraft werden.\u201c<\/p>\n

Das sieht Wolfgang Goerlich, Fakult\u00e4tsmitglied bei IANS Research, \u00e4hnlich: \u201eWenn sich eine Mentalit\u00e4t<\/a> einschleicht und festsetzt, die darauf fu\u00dft, die Schuld f\u00fcr Probleme zuerst bei anderen zu suchen, l\u00e4uft die Kultur in die falsche Richtung.\u201c<\/p>\n

Weitere Anzeichen f\u00fcr eine vergiftete Sicherheitskultur sind laut dem Research-Experten Mitarbeiter, die:<\/p>\n

Fehler verheimlichen, um Konsequenzen zu vermeiden,<\/p>\n

sich an \u00f6ffentlichen Blo\u00dfstellungen beteiligen, oder<\/p>\n

Schatten-L\u00f6sungen finden<\/a>, um das Security-Team nicht kontaktieren zu m\u00fcssen.<\/p>\n

Dan Glass, CISO beim IT-Dienstleister NTT DATA, empfiehlt, Verfehlungen \u2013 wenn \u00fcberhaupt \u2013 auf faire und angemessene Weise zu ahnden. Alles andere h\u00e4lt der Sicherheitsentscheider f\u00fcr kontraproduktiv: \u201eM\u00fcssen Mitarbeiter bei Fehlern mit harten Konsequenzen rechnen, sinkt die Wahrscheinlichkeit, dass Vorf\u00e4lle gemeldet werden. Das kann wiederum in unentdeckten Sicherheitsl\u00fccken<\/a> und einem allgemeinen Mangel an Transparenz resultieren.\u201c<\/p>\n

Gleiches gilt jedoch auch mit Blick auf die Sicherheitsprofis selbst, warnt Fortra-Manager Reffkin: \u201eEin Security-Team, das Angst hat, Fehler zu machen, wird sich wahrscheinlich irgendwann negativ auf das Business auswirken.\u201c<\/p>\n

MIT-Direktorin Pearlson sieht nicht nur deshalb vor allem die Unternehmensleitung in der Pflicht, wenn es darum geht, eine gesunde Sicherheitskultur zu verankern: \u201eAuch hier greift das Sprichwort \u201aDer Fisch stinkt vom Kopf\u2018. Wenn die oberste Ebene im Unternehmen Security nicht als Priorit\u00e4t anerkennt, das lebt und nach au\u00dfen kommuniziert, werden auch die Mitarbeiter keinen Anlass dazu sehen, Richtlinien und Best Practices zu befolgen.\u201c<\/p>\n

Korrekturma\u00dfnahmen<\/h2>\n

Eine starke Cybersecurity-Kultur zu etablieren, ist deshalb nicht nur eine Aufgabe f\u00fcr den CISO. Allerdings k\u00f6nnten Sicherheitsentscheider mit gutem Beispiel vorangehen, meint Pearlson. Sie r\u00e4t CISOs dazu:<\/p>\n

positives Verhalten zu belohnen,<\/p>\n

Security-Champions zu ernennen,<\/p>\n

einen freundschaftlichen Wettbewerb zwischen Teams zu schaffen, um Worst Practices \u201esanft\u201c zu unterbinden, sowie<\/p>\n

andere Motivatoren einzusetzen, um sicherheitskonforme Verhaltensweisen zu f\u00f6rdern.<\/p>\n

\u201eDas Beste, was sie tun k\u00f6nnen, ist jedoch, ihre C-Level-Kollegen dabei zu unterst\u00fctzen, Cybersicherheit zu priorisieren<\/a>. Das macht der gesamten Belegschaft klar, dass die Unternehmensleitung diesbez\u00fcglich an einem Strang zieht\u201c, konstatiert die MIT-Expertin. Auch Research-Experte Goerlich r\u00e4t Sicherheitsentscheidern dazu, das Thema Sicherheitskultur nicht in einem Vakuum anzugehen: \u201eBilden Sie mit der Personalabteilung ein funktions\u00fcbergreifendes Team.\u201c<\/p>\n

NTT-CISO Glass sieht in Awareness-Kampagnen<\/a> ein weitere M\u00f6glichkeit, um toxischen Sicherheitskulturen entgegenzuwirken: \u201eEine solide Sensibilisierungsinitiative, die insbesondere \u00fcber den Sinn und Zweck von drakonischeren Sicherheitsma\u00dfnahmen aufkl\u00e4rt, kann dazu beitragen, dass die Unternehmenssicherheit von den Mitarbeitern als gemeinsames Ziel betrachtet wird.\u201c<\/p>\n

Worin sich alle Experten einig sind: Eine Sicherheitskultur zu entgiften, respektive zu entwickeln, stellt keine einmalige, sondern eine kontinuierliche Anstrengung dar \u2013 alleine schon deshalb, weil sich auch die Belegschaft mit der Zeit ver\u00e4ndern wird. SANS-Chefforscher Lee konkretisiert: \u201eEs ist von entscheidender Bedeutung, sich kontinuierlich weiterzubilden und ein gemeinsames Verst\u00e4ndnis daf\u00fcr zu f\u00f6rdern, wie sich Sicherheit auf das Unternehmen als Ganzes auswirkt. Indem Unternehmen ihre Mitarbeiter bef\u00e4higen und sie als aktive Teilnehmer in Sicherheitsfragen einbinden, k\u00f6nnen sie eine widerstandsf\u00e4hige Kultur aufbauen, die sich parallel zur Bedrohungslandschaft weiterentwickelt.\u201c<\/p>\n

Um zu gew\u00e4hrleisten, dass eine vergiftete Sicherheitskultur gar nicht erst entsteht, empfiehlt NTT-Sicherheitsentscheider Glass, organisatorische Sicherheitskontrollen einzuziehen, die wirksam und transparent sind: \u201eEine gut durchdachte Zero-Trust-Strategie<\/a> mit Single Sign-on f\u00fcr alle Anwendungen und benutzerfreundlichen Authentifizierungs-Token ist dazu geeignet, die Reibungsverluste bei den t\u00e4glichen Sicherheitsinteraktionen erheblich zu reduzieren.\u201c<\/p>\n

Sie wollen weitere interessante Beitr\u00e4ge rund um das Thema IT-Sicherheit lesen? <\/strong>Unser kostenloser Newsletter<\/strong><\/a> liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.<\/strong><\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Lassen Sie toxische Kulturen nicht gedeihen. ON-Photography Germany | shutterstock.com Eine positive Cybersecurity-Kultur tr\u00e4gt zur allgemeinen Awareness bei, ist Best Practices f\u00f6rderlich und kann die interne Zusammenarbeit st\u00e4rken. Auf der anderen Seite sorgt eine vergiftete Sicherheitskultur daf\u00fcr, dass: Team-Moral und -Produktivit\u00e4t sinken, die Mitarbeiterfluktuation steigt, und Systeme sowie Daten erh\u00f6hten Risiken ausgesetzt sind. \u201eToxische Cybersicherheitskulturen […]<\/p>\n","protected":false},"author":0,"featured_media":1315,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-1320","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/1320"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1320"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/1320\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/1315"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1320"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1320"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1320"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}