Wie eine wirksame Sensibilisierung von Mitarbeitenden die Resilienz von Unternehmen stärken kann
Internetkriminalität und die Zahl von Online-Betrugsfällen haben neue Höchststände erreicht. Dies geht unter anderem aus dem „Bundeslagebild Cybercrime“ des Bundeskriminalamtes hervor und spiegelt einen weltweiten Trend wider. Der pandemiebedingte Wechsel ins Homeoffice und Umbrüche im Arbeitsalltag der Menschen durch die zunehmende Digitalisierung führen zu einer größeren Angriffsfläche für Cyberkriminelle. Zugleich bieten sich potenziellen Angreifern erhöhte Erfolgschancen durch eine verminderte Aufmerksamkeit, die dem Thema Cybersicherheit zukommt, wenn Mitarbeitende neben ihrer Arbeit auch noch von Sorgen rund um Corona, Krieg oder wirtschaftliche Unsicherheit belastet werden. Social Engineering, Phishing und die Vermarktung dadurch gestohlener Zugangsdaten haben in unsicheren Zeiten geradezu Hochkonjunktur. Die beschriebenen Aufmerksamkeitsdefizite gepaart mit Unwissenheit vor Gefahrenquellen im Internet und der digitalen Arbeitswelt tragen auch zu mehr Cybersicherheitsvorfällen in Unternehmen bei. Entsprechend weist das jüngste Allianz Risk Barometer Cybergefahren als größte Sorge der Unternehmen weltweit aus: 44 Prozent aller 2.650 Befragten aus 89 Ländern werteten Cybervorfälle als größtes Geschäftsrisiko.
Kritische Infrastruktur im Fokus
In der immer stärker vernetzten Energiewelt ist die Bedrohungslage nicht erst seit dem Kriegsausbruch in der Ukraine hoch. Ein steigender Grad an Interkonnektivität von Systemen, Kraftwerkssteuerungen und Komponenten zur Energieerzeugung und -übertragung erlauben einerseits mehr Automatisierung und Überwachung. Zugleich steigt aber auch die Gefahr von äußeren Eingriffen. Kurzum: Alles, was eine Kommunikationsinfrastruktur nutzt, ist anfällig, wenn es von überall aus dem Netzwerk angreifbar ist. Technologisch hat die Cybersicherheit mit Blick auf diese Herausforderungen in den letzten Jahren große Fortschritte erzielt. Bei Siemens Energy etwa ist Cybersicherheit strategisch über alle Ebenen des Technologieunternehmens verankert und wird gemäß Industriestandards wie IEC 62443 im Produktlebenszyklus-Management und der Projektausführung eingebettet.
Faktor Mensch in der Sicherheit von IT und OT
Doch wie steht es vor dem Hintergrund dieser Trends um den „Faktor Mensch“ in der Cybersicherheit? Laut Studien ist ein Großteil aller – aus Sicht der Cyberkriminellen – erfolgreichen Angriffe auf menschliches Fehlverhalten zurückzuführen. Mit raffinierten Strategien gelingt es den verschiedenen Akteuren ein ums andere Mal, Mitarbeitende dazu zu verleiten, auf schädliche Links oder Dateien zu klicken, um so Zugang zu Daten oder Systemen des Unternehmens zu erlangen. Folglich sind Wissensvermittlung und die Schaffung von Anreizen, cybersichere Praktiken im Unternehmensalltag zu berücksichtigen, ein wichtiger Erfolgsfaktor zur Stärkung der Cyberresilienz eines Unternehmens. Sicherheit liegt heute nicht mehr als Produkt in der alleinigen Zuständigkeit einer Fachabteilung, sondern muss über das gesamte Unternehmen hinweg ins Bewusstsein gerückt und „gelebt“ werden. Wie gelingt dieser Kulturwandel und welche Schritte sind dafür nötig? Wie entsteht ein wirksames Programm für das Sicherheitsbewusstsein innerhalb eines Unternehmens, das von allen Mitarbeitenden angenommen wird – von den Bürostandorten, über Werke und Fabriken bis zur Führungsetage?
Aufbau einer Sicherheitskultur
Bei Siemens Energy treiben wir basierend auf diesen Fragen den Aufbau einer Sicherheitskultur voran und arbeiten hierzu mit ausgewiesenen Expert:innen auf dem Gebiet der „Security Awareness“ wie der Agentur known_sense aus Köln zusammen. In unserem Konzept nutzen wir ein breites Spektrum an Vermittlungsmethoden, die die verschiedenen Lerntypen und Verfassungen unserer Zielgruppen im Unternehmen adressieren. Schließlich treffen Maßnahmen zur Sensibilisierung in aller Regel auf eine Belegschaft mit unterschiedlichen Erfahrungen, Einstellungen und Aufmerksamkeit in Bezug auf das Thema Cybersicherheit. Der Schlüssel zur wirksamen Sensibilisierung ist daher vereinfacht gesagt eine zielführende Konfektionierung von Maßnahmen, die die Ebenen „Wissen“, „Wollen“ und „Können“ adressieren. Anders umschrieben: Die erwünschte Umsetzung von dokumentierten Regeln und Know-how-Vermittlung können nur über eine emotionalisierende und überzeugende Ansprache gelingen. Es braucht die passenden Formate, um zu Security-relevantem Verhalten zu motivieren, sodass es für den Einzelnen zum Bedürfnis wird.
Quelle: Methoden-Layer der Security Awareness, known_sense, HECOM
Cybersicherheit als gemeinsame Aufgabe: #DefendTogether
Startschuss für das aus diesem Konzept resultierende Awareness-Programm bei Siemens Energy war der international bekannte „Cybersecurity Monat“ im Oktober. Dieser legte den Grundstein für die weitere Integration von Cybersicherheit als Bestandteil der Unternehmenskultur. Kernstück des Aktionsmonats war ein mehrsprachiges Vortrags- und Mitmach-Programm zu einem Themenmix unter dem Motto „Defend. Together.“, zu dem sowohl interne als auch externe Fachleute eingeladen wurden: Von industrieller Cybersicherheit über Phänomene wie Darknet und Phishing bis hin zum Thema „Schutz von Kindern und Jugendlichen im Internet“ wurden möglichst verschiedene Interessen bedient. Darüber hinaus konnten wir mit vielen weiteren Maßnahmen sowohl on- als auch offline für Sichtbarkeit von gelebter Cybersicherheit sorgen, etwa durch die Begehung und Sicherheitsbeurteilung von Arbeitsplätzen durch lokale Cybersecurity Officer, eine analoge und digitale Poster-Kampagne mit Mitarbeiter-Motiven sowie eine „Baseline“-Befragung zur Erhebung des aktuellen Reifegrads der Organisation.
Es bleibt viel zu tun: Ausblick
Cybersicheres Verhalten muss Bestandteil der Unternehmenskultur werden, um einen effektiveren Schutz der Unternehmenswerte zu gewährleisten. Um positive Verhaltensänderungen zu vermitteln und Risiken zu verringern, ist ein dediziertes Programm für die verschiedenen Zielgruppen im Unternehmen notwendig. Hierzu zählen nicht allein klassische Schulungsmaßnahmen, die auf die reine Wissensvermittlung über Richtlinien und Maßnahmen zur Cybersicherheit abzielen. Nachhaltig wirksame Sensibilisierung bedient sich zudem der Hilfe von Befürwortern aus den verschiedenen Bereichen eines Unternehmens, der emotional aufgeladenen Vermittlung und der Methoden des betrieblichen Bildungs- und Veränderungsmanagements. Der ganzheitliche Ansatz verbindet Menschen, Prozesse und Technologien, um die Gefahren von Angriffen und Datenschutzverletzungen zu verringern. ■
