Geht es um IT-Sicherheit, herrscht in deutschen Unternehmen das große Schweigen. Wie eine gemeinsame aktuelle Studie von Websense und dem Ponemon Institute zeigt, sprechen Security-Spezialisten und das Management zu wenig miteinander. 20% der Verantwortlichen, so ein Ergebnis der Untersuchung, reden sogar überhaupt nie über das Thema IT-Sicherheit mit den wirtschaftlichen Führungskräften in ihrem Haus. Und diejenigen die es tun, führen derartige Gespräche nur äußerst selten. Gerade einmal zwei Prozent reden jede Woche mit dem Management. Das kann sich rächen, denn Cyber-Kriminelle bedrohen die Unternehmen mit immer ausgefeilteren Methoden. Wollen die Verantwortlichen mit ihren Abwehrstrategien erfolgreich sein, reicht es nicht, wenn sie losgelöst vom Rest des Unternehmens ihrer Arbeit nachgehen. Stattdessen müssen sie unbedingt die Führungskräfte in ihrem Haus einbinden und regelmäßig mit ihnen kommunizieren – um den aktuellen Sicherheitsstatus zu diskutieren, gemeinsam Risiken zu bewerten oder zusammen Bedrohungsmodelle zu analysieren.
Management sieht IT-Sicherheit oft nur als Kostenfaktor
Da das Management die IT-Sicherheit häufig nur als reinen Kostenfaktor wahrnimmt, ist es außerdem ganz entscheidend, ihm die Relevanz des Themas zu demonstrieren und aufzuzeigen, wie es dem Unternehmen dabei helfen kann, seine Ziele zu erreichen. Das lässt sich aber nur mit Kommunikationsarbeit bewerkstelligen – etwa, indem man dem Management in Form von Sicherheits-Business-Plänen darstellt, wie die Ziele für das laufende und die kommenden Jahre aussehen. In festen, regelmäßigen Sitzungen mit Verantwortlichen aus sämtlichen Bereichen des Unternehmens sollten sie das Feedback der Führungskräfte einholen und deren Priorisierungen mit den eigenen abgleichen. Ganz wichtig dabei: Da die Führungskräfte nur Programme unterstützen, die sie auch verstehen, sollte ihr Nutzen in nicht-technischen Worten verdeutlicht werden. Eine generelle Regel dafür, wie häufig dieser Austausch stattfinden sollte, gibt es nicht. Der Turnus ist stark von Unternehmensgröße und Geschäftsumfeld abhängig. Dabei gilt: Je größer ein Unternehmen, desto komplexer in aller Regel seine Strukturen, und desto häufiger sollte deshalb auch kommuniziert werden. Redebedarf besteht aber nicht nur mit den Führungskräften, denn die Mitarbeiter sind mindestens genauso wichtig. Sie werden noch viel zu häufig als höchstes Sicherheitsrisiko im Unternehmen betrachtet und auch dementsprechend behandelt. Stattdessen sollte man sie aber als Unterstützung sehen und versuchen, sie für einige Minuten pro Tag zu Security-Mitarbeitern zu machen. Eine Möglichkeit dazu können spezielle Programme sein, die beispielsweise Mitarbeiter belohnen, die entdeckte Bedrohungen wie Phishing-Mails melden. Eine andere Option – neben vielen weiteren – sind interne Unternehmensblogs, in denen die Mitarbeiter ihre Erfahrungen an ihre Kollegen kommunizieren können.
Informationspool zum Schutz aller zusammentragen
Auch wenn es zunächst befremdlich klingen mag – wer spricht schon gerne über Sicherheitsvorfälle im eigenen Haus – ist auch die Kommunikation nach außen nicht zu vergessen. Der Austausch von Informationen mit anderen Unternehmen, Behörden und Institutionen gehört zu den wirkungsvollsten Strategien gegen moderne Cyber-Bedrohungen. Werden Bedrohungsdaten wie eingesetzte Taktiken oder verwendete IP-Adressen geteilt, entsteht ein Informationspool, mit dessen Hilfe sich alle besser vor Ködern, Phishing-Attacken und Schadsoftware schützen können. Neue Bedrohungen erfordern neue Strategien. Die enge Zusammenarbeit der Security-Verantwortlichen mit allen Beteiligten ist dabei ein ganz entscheidender Aspekt – seien es Führungskräfte, Mitarbeiter, oder auch Kollegen aus anderen Unternehmen.