Umdenken bei der Sicherheitskultur IT-Sicherheit geht alle Teams an

Autor / Redakteur: Lisa Junger * / Stephan Augsten

Vieles hat sich 2020 auf eine Art verändert, die kaum vorherzusehen war. IT-Sicherheit aber bleibt Kernthema für die meisten Unternehmen. Gleichzeitig schrumpft das Vertrauen von Unternehmen in ihre Fähigkeit, diesen Bedrohungen effektiv zu begegnen.

Firma zum Thema

Relevantes Wissen rund um die Sicherheit von IT-Systemen muss in jedem Team verankert sein.
Relevantes Wissen rund um die Sicherheit von IT-Systemen muss in jedem Team verankert sein.
(© freshidea - stock.adobe.com)

Während die allgegenwärtige Vernetzung mehr potenzielle Angriffspunkte für Hacker öffnet, sehen sich Entscheiderinnen und Entscheider pandemiebedingt mit neuen Bedrohungen – einem deutlichen Anstieg an intelligentem Phishing und COVID-19 bezogener Malware – konfrontiert. Innerhalb kürzester Zeit sind ganze Abteilungen oder gar Unternehmen zum Homeoffice als Standardarbeitsplatz übergegangen.

Die Mischung aus ständiger Verunsicherung durch die Pandemie und mehr digitalen Interaktionen erhöht das Risiko, dass schädliche Clickbaits erfolgreich sind. Digitale Sicherheit in Unternehmen erfordert von Organisationen die Fähigkeit, dynamisch auf eine sich ständig verändernde Bedrohungslandschaft zu reagieren.

Dies ist oft jedoch nicht die Stärke traditioneller Sicherheits-Frameworks oder Fertiglösungen. Weitaus mehr als das Anwenden von Standardlösungen müssen Unternehmen ein neues Mindset rund um IT-Sicherheit in ihren Teams etablieren. Doch wie können sie das erreichen?

IT-Sicherheit fängt mit dem Erkennen von Schwachstellen an

Der erste Schritt hin zu einem neuen Sicherheitsbewusstsein in Unternehmen ist es, sich den neuen Sicherheitsrealitäten zu stellen, die durch die Verbreitung von Vernetzung, Daten und Cloud-basierten Computing-Modellen entstehen. Entscheider*innen tun gut daran, die IT-Struktur ihres Unternehmens auf mögliche Sicherheitsbedenken hin zu evaluieren.

Oft unterschätzen Unternehmen beim Einsatz von Cloud Computing beispielsweise ihre eigene Verantwortung für Cyber-Sicherheit bei der Zusammenarbeit mit Cloud-Providern. Auch Datenschutz und Datensicherheit, insbesondere hinsichtlich der Sicherheit von Endkundendaten, gewinnen an Bedeutung; denn das Verständnis, die Perspektiven und Haltungen der Nutzerinnen und Nutzer sowie Regierungen und Rechtsprechung haben sich verändert.

Gleichzeitig werden exponentiell mehr Daten erhoben, gespeichert und im Rahmen von Business Intelligence verarbeitet. Damit entstehen sehr viel größere und interessantere Ziele für Cyberkriminelle.

Das Internet of Things kann ebenfalls ein Einfallstor für Cyberbedrohungen sein: Da immer mehr vernetzte Geräte an kritischen Punkten im Produktionsprozess eingesetzt werden oder in engeren Kontakt mit Angestellten und der Kundschaft kommen, vergrößert sich die Angriffsfläche des Unternehmens. Unglücklicherweise haben viele IoT-Geräte außerdem nach wie vor deutliche Sicherheitslücken. Oft werden unsichere Default-Konfigurationen oder Passwörter bereitgestellt und von Usern nicht geändert.

All diese Risiken bekommen heute neue Aufmerksamkeit. Einerseits weil mehr und mehr von Heimarbeitsplätzen aus gearbeitet wird, andererseits weil die Grenzen zwischen privaten und beruflichen Geräten seit Jahren verschwimmen.

Nicht außer Acht gelassen werden sollten außerdem komplexe Lieferketten. Unternehmen tendieren dazu, sich auf ihre eigenen Sicherheitspraktiken zu konzentrieren und dabei das Risiko zu unterschätzen, das sich aus den vernetzten Komponenten verschiedener Software-Dienstleister, Lieferanten und Vertriebspartner ergibt.

IT-Sicherheitsrisiken haben ihren Ursprung häufig in einem schwachen Glied in der Kette, in einem Baustein, der nicht die angemessenen Software-Sicherheitsstandards erfüllt. Das Einhalten dieser Standards über alle Komponenten hinweg lässt sich leider nicht verkürzen, sodass eine einzelne Schwachstelle die Sicherheit des gesamten Systems gefährdet.

Von der Sicherheitsstrategie zur Sicherheitskultur

Technologie, Zero-Trust-Architekturen und Training können helfen, solche Herausforderungen besser zu bewältigen. Dennoch können auch die kompetentesten Teams heute nur bessere Ausgangsvoraussetzungen in Sachen IT-Sicherheit schaffen. Jeder Schutz ist potenziell fehlbar und gelegentliche Rückschläge sind unvermeidlich.

Anstatt sich also vollständig darauf zu konzentrieren, das Unternehmen unangreifbar zu machen, müssen leitende Angestellte daran arbeiten, wie Sicherheit wahrgenommen wird. Die größte Herausforderung dabei ist das Mindset der Mitarbeiterinnen und Mitarbeiter. Zunächst müssen Unternehmen daran arbeiten, dass Sicherheit als gemeinschaftliche Aufgabe und nicht als die Verantwortung eines einzelnen Teams verstanden wird.

Eine enge Zusammenarbeit zwischen den Abteilungen im Unternehmen, für die etwas auf dem Spiel steht, und denjenigen, die technische Systeme bereitstellen, ist zentral für ein sinnvolles Risikomanagement. Sicherheit ist kein binärer Zustand.

Während IT-Profis unter Umständen nicht verstehen, welcher Wert oder welches Risiko mit einem bestimmten Datensatz verbunden ist, leben Angestellte anderer Funktionsbereiche (z.B. die Rechtsabteilung oder die Personalverwaltung) genau diese Information jeden Tag. Diese Fachabteilungen wissen in der Regel sehr genau, was auf dem Spiel steht, im Gegensatz zu Menschen, deren Expertise es ist, die Firewall zu konfigurieren.

Unternehmen können eine partnerschaftliche Sicherheitskultur fördern, indem sie ihr Sicherheitsteam als interne Consultants einsetzen. Wenn Sicherheitsexperten in Projektteams eingebunden sind, werden angemessene Sicherheitsmaßnahmen direkt in den Entwicklungsprozess eingebettet und entlang der realistischen Risiken bewertet. Es gilt zu verhindern, dass Sicherheitsanforderungen und -bewertungen ausschließlich zu Beginn und am Ende eines Projekts Beachtung finden, denn diese führen regelmäßig zu schmerzhaften und potenziell teuren Sicherheitsvorfällen.

Wenn Cross-funktionale Teams mit IT-Sicherheitskompetenzen ausgestattet werden, lassen sich Risiken dann adressieren, wenn sie entstehen. So reduzieren Unternehmen Situationen, in denen sich Anforderungen an die Software über die Zeit ändern, Sicherheitsteams diese aber erst spät im Entwicklungsprozess identifizieren. Dies sind dann häufig Vorfälle, aufgrund derer wichtige Go-Live-Termine verschoben oder Sicherheitsmaßnahmen teuer nachgerüstet werden müssen.

Ein Umbau hin zu einer demokratischeren Sicherheitsorganisation bedarf oft sensibler organisatorischer Veränderungsprozesse, die das Gleichgewicht von Kontrolle und Verantwortlichkeit neu definieren. Diese bedürfen einer Mischung aus Management Support, klarer Kommunikation und Incentivierung über alle Unternehmensebenen hinweg.

Kolleginnen und Kollegen näher an der Basis verstehen unter Umständen nicht direkt, dass sie nun auch für die Sicherheit ihrer Produkte und für die sensible Risikoabwägung bei der Priorisierung von Features inklusive ihrer Sicherheitsanforderungen verantwortlich sind. Es ist zentral, ein fundiertes Bewusstsein bei allen Angestellten zu schaffen.

Dazu müssen diese darüber informiert sein, was kritisch für den Unternehmenserfolg ist, was zentrale Geschäftswerte sind, welche Informationen öffentlich geteilt werden können und welche nicht. Wenn unsere neue Normalität virtuell und sozial ist, dann müssen wir kritisches Denken fördern – nicht nur beim Programmieren, sondern in allen alltäglichen Geschäftsaktivitäten.

Dem Fachkräftemangel durch neue Sicherheitskultur begegnen

Aus der kollektiven Entwicklung von Sicherheitskompetenzen ergibt sich ein weiterer Vorteil: Es kann Unternehmen helfen, den massiven Fachkräftemangel im IT-Sicherheitsbereich abzufedern. Wenn die Sicherheitskenntnisse im gesamten Unternehmen gestärkt werden, anstatt sich ausschließlich auf Expertinnen zu verlassen, verringert sich automatisch das Defizit an Talenten.

Zwar haben IT-Security-Spezialisten ihren speziellen Platz, IT-Sicherheit selbst aber kann nicht isoliert betrachtet werden. Relevantes Wissen rund um die Sicherheit von IT-Systemen muss in jedem Team verankert sein. Unternehmen brauchen Teams, die im richtigen Moment sicherheitsrelevante Fragen identifizieren und verstehen, was es braucht, um angemessene Maßnahmen zu priorisieren.

Fazit: Sicherheitsdenken als neuer Performance-Indikator

Kontrollen, die von oben verordnet werden, können keine Kultur geteilter Sicherheitsverantwortung etablieren. Insbesondere müssen Anreize geschaffen werden, die auf das wesentliche Ziel von IT-Sicherheit hinwirken: Mehrwert für das Unternehmen zu schaffen. Diese Anreize müssen der Haltung entgegenwirken, zwischen Wertschöpfung und Sicherheit zu entscheiden.

Oft sind Performance-Indikatoren in Bezug auf Sicherheit allerdings so definiert, dass nicht der Mehrwert im Fokus steht und teilweise sogar kontraproduktives Verhalten belohnt wird. So wird zum Beispiel häufig noch immer die reine Anzahl an Sicherheitsvorfällen gemessen, was dazu führen kann, dass Vorfälle einfach nicht mehr gemeldet werden. Auf diese Weise können Unternehmen aber nie besser werden.

Lisa Junger
Lisa Junger
(Bild: Alina Cürten / www.cuerten.pro)

Unabhängig davon, wie IT-Sicherheit bewertet und gefördert wird, ist es so gut wie sicher, dass jedes Unternehmen irgendwann mit einem Vorfall oder einer Sicherheitsverletzung konfrontiert wird. Wichtig ist Transparenz während der Behebung des Vorfalls und ein „Post-Mortem“ ohne Schuldzuweisungen, sondern mit Fokus auf der Verbesserung des Gesamtsystems. Ein Sicherheitsvorfall muss nicht gleichbedeutend mit einer Katastrophe sein, wenn das Unternehmen sich um den ersten Schritt gekümmert hat – Planung, Übung und Vorbereitung.

* Lisa Junger ist Information Security Lead bei ThoughtWorks.

(ID:47409734)