Cyberkompetenz
Menschliche Cybersecurity-Skills patchen
Nicht nur die Anzahl von Sicherheitsvorfällen hat zugenommen; auch die Entwicklung neuer und angepasster Angriffsmethoden. Vor diesem Hintergrund stellen nicht nur Software-Schwachstellen ein Risiko dar. Die Cyberkompetenz jedes Einzelnen im Unternehmen wird auf die Probe gestellt.
Immersive Labs hat vor Kurzem seinen aktuellen Benchmark Report zur Cyberkompetenz in Unternehmen vorgestellt1. Die Analyse der Daten von 35.000 Cybersecurity-Experten aus 400 Unternehmen soll die weltweit erste umfassende Analyse menschlicher Cyberkompetenz liefern. Rebecca McKeown im Interview mit funkschau; sie ist Director of Human Science bei Immersive Labs und zugelassene Psychologin mit über fünfzehn Jahren Erfahrung unter anderem in der Militärpsychologie. Mit ihrem Forschungs- und Vortragserfahrungsschatz in Regierungs-, Industrie- und Regulierungssektoren liefert sie wissenschaftlich fundierte Forschungsinhalte und relevante Lerninhalte für Manager und Führungskräfte auf mittlerer Ebene. Sie unterstützt zudem Klienten bei der Steigerung ihrer Fähigkeiten und Effizienz, der Verringerung von Risiken und dem Erzielen eines guten Preis-Leistungs-Verhältnisses durch den Einsatz menschlicher Wissenschaft.
funkschau: Frau McKeown, was ist unter „menschlicher Cyberkompetenz“ in diesem Kontext genau zu verstehen? Geht es vereinfacht ausgedrückt darum, wie wir auf Gefahren aus dem Internet reagieren?
Rebecca McKeown: Menschliche Cyberkompetenz beschreibt die Fähigkeit einzelner Mitarbeiter oder Teams innerhalb eines Unternehmens, Cyberrisiken zu minimieren. Das können Cybersecurity-Teams sein, die das Gefährdungspotenzial im Zusammenhang mit technischer Infrastruktur verlässlich einschätzen können, oder Development-Teams, die wissen, wie man sichere Software entwickelt. Es kann aber auch bedeuten, dass Executives sich der potenziellen Auswirkungen einer Krise auf Geschäftsebene bewusst sind und im Ernstfall bessere, fundiertere Entscheidungen treffen. Insgesamt hat die Cyberkompetenz von Mitarbeitern und Führungskräften enormen Einfluss auf die Widerstandsfähigkeit eines Unternehmens als Ganzes.
| „Unternehmen sollten sicherstellen, dass sie ihren Mitarbeitern die zu ihrer Rolle passenden Skills vermitteln, anstatt einfach jeden in allem zu schulen.“ |
|---|
funkschau: Die digitale Bedrohungslandschaft befindet sich permanent im Wandel. Was bedeutet das mit Blick auf Unternehmen und deren Mitarbeiter für den Aufbau ihrer Cybersecurity-Skills?
McKeown: Dass sich, analog zur sich ständig verändernden Bedrohungslandschaft, grundsätzlich auch die menschlichen Cybersecurity-Skills weiterentwickeln müssen. Um Schritt halten zu können, sollte diese Entwicklung als kontinuierlicher Prozess begriffen werden, ähnlich wie beim Patchen technischer Schwachstellen – nur dass es in diesem Fall, anstatt um die Optimierung von Software, um die Optimierung menschlicher Cybersecurity-Skills geht. Die Ergebnisse unseres Reports zeigen jedoch, dass Angreifer mit durchschnittlich mehr als 96 Tagen zwischen dem Bekanntwerden neuer Bedrohungen und dem Aufbau entsprechender Kompetenzen zu deren Abwehr derzeit einen beträchtlichen Vorsprung haben – und das schadet der Widerstandsfähigkeit.
Aus diesem Grund empfehlen wir Micro Drilling – sprich kurze Trainings und Simulationen, die Cybersecurity-Skills immer dann auffrischen, wenn neue Bedrohungen auftreten. Das garantiert, dass das Know-how relevant bleibt und verhindert, dass die Skills aufgrund mangelnder Beanspruchung verblassen.
funkschau: Was sind gegebenenfalls weitere Herausforderungen bei der Weiterentwicklung von Cybersecurity-Fähigkeiten?
McKeown: Bei Unternehmen muss ein Umdenken stattfinden – sowohl auf individueller als auch auf Unternehmensebene: weg von statischem Training,
hin zu einem Verständnis von Cybersecurity-Fähigkeiten als strategische Stellschrauben bei der Risikokontrolle, die justiert werden, wenn sich die Bedrohungslage ändert.
Cyberrisiken sind ein unternehmensweites Thema und betreffen schon lange nicht mehr nur den Bereich Cybersecurity, sondern auch Executives, Entwickler, Supply-Chain- und Kommunikationsteams und andere. Kompetenzentwicklung in diesem Umfang und Tempo ist für viele Unternehmen mitunter eine Herausforderung.
funkschau: Wie lässt sich Cyberkompetenz nun am besten aufbauen? Und wie kann Psychologie Unternehmen dabei helfen?
McKeown: Die Psychologie lehrt, dass Menschen am besten lernen, wenn sie auf ihren gegenwärtigen Erfahrungen aufbauen. So gesehen geht es beim Thema Kompetenzentwicklung darum, den richtigen Menschen zum richtigen Zeitpunkt die richtigen Fähigkeiten zu vermitteln – bis zu einem gewissen Grad maßgeschneidert. Unternehmen sollten sicherstellen, dass sie ihren Mitarbeitern die zu ihrer Rolle passenden Skills vermitteln, anstatt einfach jeden in allem zu schulen.
funkschau: Der Immersive-Report kommt unter anderem zu dem Ergebnis, dass die Häufigkeit, mit der Unternehmen Krisensimulationen durchführen, erheblich von Sektor zu Sektor variiert. Technologie- und Financial-Services-Unternehmen sind am besten auf Cyberangriffe vorbereitet. KRITIS-Organisationen am schlechtesten. Wie bewerten Sie dieses Ergebnis?
McKeown: Auch wenn es darum geht, erfolgreich durch eine Cyberkrise zu navigieren, macht Übung den Meister. Je mehr Sie üben, desto besser sind Sie gerüstet. Das Letzte, was Sie wollen, ist inmitten einer realen Krise ins kalte Wasser geworfen zu werden. Reibungspunkte als Resultat unterschiedlicher, oftmals konkurrierender, Prioritäten der verschiedenen Teams lassen sich besser bei einer Übung identifizieren und beseitigen als unter „Wettkampfbedingungen“. Eine Übung gibt den Beteiligten Zeit, Informationen zu sammeln, und ermöglicht es ihnen, Optionen und Konsequenzen abzuwägen und vertrauensvolle Beziehungen aufzubauen – ohne dass reale Konsequenzen drohen.
funkschau: Welche Erkenntnisse des Reports sind aus Ihrer Sicht darüber hinaus noch erwähnenswert?
McKeown: Die aus meiner Sicht interessanteste Erkenntnis des Reports ist die Notwendigkeit, menschliche Cyberkompetenz zu messen und zu verstehen. Transparenz im Hinblick auf das Niveau der Cyberkompetenz in verschiedenen Teams legt den Grundstein für Verbesserung – andernfalls fliegt man blind.
Eine weitere klare Botschaft ist, dass wenn wir über Resilienz sprechen, es nicht nur um Cybersecurity-Teams geht, sondern darum, die Cyberkompetenz der Mitarbeiter im gesamten Unternehmen zu optimieren. Moderne Cyberrisiken betreffen alle Unternehmensbereiche, von der Cybersecurity bis hin zu Development- und Executive-Teams. Eine Tatsache, die dafür spricht, wie ich finde, dass sich Unternehmen eingehender damit befassen, wie sie die Cyberkompetenz ihrer Mitarbeiter strategisch für die Reduzierung von Cyberrisiken und das Krisenmanagement nutzen können.
funkschau: Eine abschließende Frage: Welchen Stellenwert nimmt Cyberkompetenz Ihrer Meinung nach generell gesehen – also nicht nur mit Blick auf die Sicherheit – für das Zurechtkommen von Personen in der heutigen Gesellschaft ein?
McKeown: Cyberkompetenz bringt natürlich nicht nur im Hinblick auf Cybersecurity etwas, sondern in vielen verschiedenen Lebensbereichen, Vorteile mit sich. Wer wäre nicht gern in der Lage, in unserer zunehmend digitalisierten Welt bessere Beziehungen aufzubauen, Konflikte besser zu lösen und fundiertere, rationalere Entscheidungen zu treffen?
1 https://www.immersivelabs.com/resources/ebooks/dive-into-the-data/
Lesen Sie mehr zum Thema
