Sicherheitskultur im Unternehmen
IT-Teams unter Druck
Eine umfassende Sicherheitsstrategie im Unternehmen kann noch so gut (gemeint) sein – wenn der Mitarbeiter nicht mitzieht, war alle Anstrengung vergebens. Welche Hürden bei der Implementierung einer Sicherheitskultur im Unternehmen noch zu meistern sind und warum Passwörter nicht totzukriegen sind.
funkschau: Herr Beuchelt, Sie sind CISO bei LogMeIn. Welche Aufgaben gehen damit einher?
Gerald Beuchelt: Sicherheit, Risikomanagement, Compliance, Datenschutz. Alle diese Themen sind eng miteinander verbunden und liegen im Rahmen des gesamten Sicherheitsprogramms von LogMeIn. Dementsprechend sind auch meine Aufgaben und die meines Sicherheitsteams gelagert, damit wir als SaaS-Unternehmen das Vertrauen unserer Kunden in unsere Produkte täglich gewinnen und erhalten. Das Sicherheitsteam spielt also eine entscheidende Rolle bei dieser vertrauensbildenden Maßnahme, die wir durch unsere Aufgaben stützen. Durch mein Team behalte ich die Aufsicht über die gesamte Sicherheits- und Risikohaltung des Unternehmens und helfe dabei, unser Engagement und unsere Verpflichtungen zu Sicherheit und Datenschutz mit unseren Unternehmens- und Geschäftszielen in Einklang zu bringen. Dies geschieht durch regelmäßige Abstimmung mit operativen Teams wie F&E- oder den IT-Abteilungen, aber auch in Abstimmung mit Fachabteilungen wie Finanzen, Recht, Personal, Vertrieb und Support. Durch die regelmäßige Berichterstattung an unseren CEO und den Verwaltungsrat stellen wir sicher, dass der „Tone from the Top“ alle Unternehmensfunktionen auf unsere Sicherheits- und Datenschutzziele ausrichtet.
funkschau: Inwiefern hat sich die Rolle des CISOs innerhalb des Unternehmens in den letzten Jahren gewandelt und in welche Richtung wird sie sich vermutlich entwickeln?
Beuchelt: Moderne CISOs sind heute Business Leader, die der Geschäftsleitung und dem oberen Management eine geschäftsorientierte Sichtweise auf die gesamte Sicherheitslage eines Unternehmens bieten. Während technische Fähigkeiten immer noch von entscheidender Bedeutung sind, um den Status zu beurteilen und Strategien zu entwickeln, sind Geschäftssinn und Soft Skills heute eine unverzichtbare Voraussetzung für jeden Senior Security Leader. Da die Sicherheit am häufigsten auf der zweiten Verteidigungslinie (im klassischen Drei-Linien-Modell) operiert, sind Beeinflussung und Unterricht für CISOs lebenswichtige Aktivitäten: Sicherheitshaltung und -politik ändern sich nicht durch Erlass, sondern müssen sorgfältig verhandelt werden, um die Mission oder die Geschäftsziele der Organisation zu unterstützen. Dies ist eine klare Abkehr davon, wie CISOs und Sicherheitsfachleute ihre Rolle in der Vergangenheit verstanden haben.
funkschau: Wo liegen die größten Herausforderungen bei der Implementierung einer Sicherheitskultur im Unternehmen?
Beuchelt: Die Mitarbeiter stehen im Mittelpunkt der Entwicklung eines Sicherheitsprogramms. Darin liegt auch die Herausforderung: Sie müssen bereit sein, sich auf Veränderungen einzulassen. Im ersten Schritt sollte das Unternehmen das Bewusstsein für Sicherheit im Unternehmen schaffen. Ein offener Umgang mit dem Thema Sicherheit ist dabei entscheidend. Das heißt, die Sicherheitsverantwortlichen klären über aktuelle Bedrohungen auf, zeigen Mitarbeitern, wie sie mit Daten und Konten umzugehen haben und geben Richtlinien vor, wie sie sich zukünftig zu verhalten haben. Für die Mitarbeiter sollten dabei die Vorteile eines sicheren Umgangs mit Daten für die eigene Arbeit klar erkennbar sein, sodass sie freiwillig mitmachen.
Richtlinien lassen sich durch Schulungen und regelmäßige Trainings in den Köpfen der Mitarbeiter verankern und auffrischen – am besten spielerisch. Beispielsweise durch Storytelling in Form kleiner Filme, die Bedrohungsszenarien wiedergeben und einem kurzen Test, mit dem das Verständnis bei den Mitarbeitern abgefragt wird. Aktuell inszenieren wir bei LogMeIn auf Basis des Escape-Room-Konzepts Sicherheitsspiele für unsere Mitarbeiter. Das ist definitiv aufwendiger als eine reine Schulung, aber um ein Vielfaches nachhaltiger. Klar muss den IT- und HR-Verantwortlichen zudem sein, dass Sicherheitskultur eine sich ständig weiterentwickelnde Mission ist.
funkschau: Welche Rolle spielt Passwortmanagement sowohl für Privatanwender als auch für Unternehmen?
Beuchelt: Schwache und wiederverwendete Passwörter sind einer der Hauptgründe, dass es immer wieder zu Datenschutzverletzungen kommt. Dabei stehen sich die Nutzer selbst im Weg – sei es im privaten wie im beruflichen Umfeld. Eine Umfrage, die wir vergangenes Jahr in Auftrag gegeben haben, zeigte, dass 59 Prozent der User aus Angst, ihr Passwort zu vergessen, meistens dasselbe oder ein leicht abgeändertes verwenden. Wenn man bedenkt, dass ein Nutzer im Durschnitt über 100 Konten besitzt und immer wieder dasselbe Passwort nutzt, ist klar, worauf das hinausläuft: Einmal geknackt, stehen beim Cyberkriminellen alle Konten offen.
Im Unternehmen schaut es nicht besser aus. Durch die fortschreitende Digitalisierung verschmelzen persönliche Gewohnheiten und geschäftliche Prozesse. Mitarbeiter nutzen für ihre beruflichen Konten dieselben unsicheren, immer wiederkehrenden Passwörter wie im Privaten. Unsere Studie zeigte, dass Passwörter im Durchschnitt 13 Mal wiederverwendet werden. Ein Passwortmanager kann hier sofortige Abhilfe schaffen: Er generiert und verwaltet sichere Passwörter und ist dabei leicht zu verstehen und zu implementieren.
- IT-Teams unter Druck
- Passwörter sind stark in der Gesellschaft verankert
Lesen Sie mehr zum Thema
