Immer öfter sind Unternehmen Angriffen auf ihre IT-Infrastruktur und Firmendaten – sowohl von außen als auch von innen – mit stetig ausgefeilteren Methoden ausgesetzt. Wollen die Verantwortlichen für IT-Sicherheit mit ihren Abwehrstrategien Erfolg haben, reicht es nicht aus, wenn sie losgelöst vom Rest des Unternehmens ihrer Arbeit nachgehen. Stattdessen müssen sie unbedingt die Führungskräfte in ihrem Haus einbinden und regelmäßig mit ihnen kommunizieren - sei es, um den aktuellen Sicherheitsstatus zu diskutieren, Sicherheitsrisiken zu bewerten oder Bedrohungsmodelle zu analysieren.
Foto: FotolEdhar - Fotolia.com
In der Realität zeigt sich aber oft folgendes Bild: Security-Spezialisten und das Management reden wenig miteinander. Das verdeutlicht eine vor kurzem von Websense zusammen mit dem Ponemon Institute durchgeführte weltweite Studie. Die Ergebnisse für Deutschland sind ernüchternd: 20 Prozent der Security-Spezialisten tauschen sich überhaupt nie mit Management-Vertretern über Cyber-Sicherheit aus. Und diejenigen die es tun, führen derartige Gespräche nur sehr selten. Gerade einmal zwei Prozent sprechen jede Woche mit dem Management.
Dieser Mangel an Kommunikation ist vor allem deshalb ein Problem, weil das Management die IT-Sicherheit häufig nur als reinen Kostenfaktor wahrnimmt. Darum ist es von entscheidender Bedeutung, der Führungsspitze die Relevanz des Themas zu demonstrieren und aufzuzeigen, wie es dem Unternehmen dabei helfen kann, seine Ziele zu erreichen. Das geht aber nur mit Kommunikationsarbeit. So können die IT-Security-Admins zum Beispiel mit Sicherheits-Business-Plänen darstellen, wie die Sicherheitsziele für das laufende und die kommenden Jahre aussehen. In festen, regelmäßigen Sitzungen mit Verantwortlichen aus sämtlichen Bereichen des Unternehmens sollten sie das Feedback der Führungskräfte einholen und deren Priorisierungen mit den eigenen abgleichen. Besonders wichtig dabei: Da die Führungskräfte nur Programme unterstützen, die sie auch verstehen, sollte der Nutzen in nicht-technischen Worten verdeutlicht werden.
Eine generelle Regel dafür, wie häufig dieser Austausch stattfinden sollte, gibt es nicht. Der Turnus ist stark von Unternehmensgröße und Geschäftsumfeld abhängig. Dabei gilt: Je größer ein Unternehmen, desto komplexer sind in der Regel seine Strukturen, und desto häufiger sollte deshalb auch kommuniziert werden.
Kollegen zu Sicherheitsmitarbeitern machen
Mindestens ebenso wichtig wie die Kommunikation mit den Führungskräften ist die Einbindung der Mitarbeiter. Sie werden häufig als höchstes Sicherheitsrisiko im Unternehmen betrachtet und auch dementsprechend behandelt, auch wenn die wenigsten von ihnen potenzielle vorsätzliche Innentäter sind. Daher sollten Security-Verantwortliche sie als Unterstützung sehen und versuchen, sie für einige Minuten pro Tag zu Sicherheitsmitarbeitern zu machen.
Eine Möglichkeit dazu können spezielle Programme sein, die beispielsweise Mitarbeiter belohnen, die entdeckte Bedrohungen wie Phishing-Mails melden. Eine andere Option – neben vielen weiteren – sind interne Unternehmensblogs, in denen die Mitarbeiter ihre Erfahrungen in Sachen Security an ihre Kollegen weitergeben können.
Neue Cyber-Bedrohungen erfordern ebenso neue Strategien. Eine enge Zusammenarbeit der Security-Verantwortlichen mit allen Beteiligten ist dabei ganz entscheidend – seien es Führungskräfte, Mitarbeiter, oder aber auch Kollegen aus anderen Unternehmen. (bw)